Опишите отличия компонентов биометрической службы windows 10 от предыдущих версий ос

Комментарии

Только зарегистрированные пользователи могут оставлять комментарий.

Регистрация
Авторизация

Картинка с сайта: www.itweek.ru

Картинка с сайта: www.itweek.ru Сейчас искусственный интеллект уже не футуристическая концепция, а инструмент, который перестраивает глобальную … Картинка с сайта: www.itweek.ru Появление агентного искусственного интеллекта представляет собой смену парадигмы: от автоматизированных рабочих процессов … Картинка с сайта: www.itweek.ru Джимми Места, основатель и технический директор компании RAD Security, рассказывает на портале The New Stack … Картинка с сайта: www.itweek.ru Защита потоковых данных — это стратегический императив. Анил Инамдар, руководитель глобального отдела сервисов данных NetApp … Картинка с сайта: www.itweek.ru По данным Bloomberg Research, набирающая популярность технология Retrieval-Augmented Generation (RAG, генерация …

Картинка с сайта: www.osp.ru

Сегодня проблемы аутентификации в Windows сложно назвать надуманными. К аутентификации по паролю предъявляются все более сложные требования. Пароль длиной в восемь символов, содержащий три набора из четырех, уже не является настолько устойчивым к взлому, как два-три года назад. А если вы поставите длину пароля еще больше, пользователи начнут записывать их на бумаге и приклеивать к монитору.

Сегодня 45% времени работы службы поддержки, по данным Gartner, уходит на сброс паролей. Да и несложно подсчитать время взлома пароля на современном оборудовании. А если атака будет распределенной, с нескольких компьютеров? Некоторые цифры о времени взлома пароля путем подбора в Windows приведены в таблице 1.

Если считать, что на предприятии установленное время жизни пароля — 42 дня, как это рекомендовано Microsoft, то несложно оценить вероятность взлома пароля за этот период (таблица 2).

Выходов из данной ситуации несколько — применение аппаратной аутентификации на базе смарт-карт или ключей eToken или использование средств биометрической аутентификации. Сегодня на рынок средств аутентификации все чаще выходят средства биометрической аутентификации. Давайте посмотрим, что же это такое.

Биоэлектронные системы

Как правило, для защиты компьютерных систем от несанкционированного доступа применяется комбинация из двух систем — биометрической и контактной на базе смарт-карт или USB-ключей. Что скрывается за понятием «биометрия»? Фактически мы используем эти технологии каждый день, однако это понятие как технический способ аутентификации появилось относительно недавно. Биометрия — это идентификация пользователя по уникальным, присущим только данному пользователю, биологическим признакам. Такие системы являются самыми удобными, с точки зрения самих пользователей, так как им не приходится ничего запоминать и такие характеристики весьма сложно потерять. При биометрической идентификации в базе данных хранится цифровой код, ассоциированный с определенным человеком. Сканер или другое устройство, используемое для аутентификации, считывает определенный биологический параметр. Далее он обрабатывается по определенным алгоритмам и сравнивается с кодом. Просто? С точки зрения пользователя — безусловно. Однако у данного метода существуют и свои недостатки.

К достоинствам биометрических сканеров обычно относят то, что они никак не зависят от пользователя (например, можно ошибиться при вводе пароля) и никто не может передать свой биологический идентификатор другому человеку, в отличие от пароля. Однако, как показали проведенные в США исследования, биометрические сканеры, основанные на отпечатках пальцев, довольно легко обмануть с помощью муляжа. Или ситуация с отказом в доступе, осуществляемом на основании распознавания голоса, в случае если человек простужен.

К биометрическим относятся различные методы. Все их можно разбить на две подгруппы:

• статические методы, которые основываются на физиологической (статической) характеристике человека, то есть уникальном свойстве, данном ему от рождения и неотъемлемом от него. К статическим относятся форма ладони, отпечатки пальцев, радужная оболочка, сетчатка глаза, форма лица, расположение вен на кисти руки и т. д.;
• динамические методы, которые основываются на поведенческой (динамической) характеристике человека — особенностях, характерных для подсознательных движений в процессе воспроизведения какого-либо действия (подписи, речи, динамики клавиатурного набора).

Методы формирования и применения биометрических характеристик в целях идентификации или верификации личности называются биометрическими технологиями (БТ). В БТ используются как статические, так и динамические источники биометрических характеристик. Примеры источников статических биометрических характеристик приведены в таблице 3.

Идеальная биометрическая характеристика человека (БХЧ) должна быть универсальной, уникальной, стабильной, собираемой. Универсальность означает наличие биометрической характеристики у каждого человека. Уникальность означает, что не может быть двух человек, имеющих идентичные значения БХЧ. Стабильность — независимость БХЧ от времени. Собираемость — возможность получения биометрической характеристики от каждого человека.

Реальные БХЧ не идеальны и это ограничивает их применение (см. таблицу 4). В результате экспертной оценки указанных свойств таких источников БХЧ, как изображения и термограммы лица, отпечатков пальцев, геометрии руки, радужной оболочки глаза (РОГ), изображения сетчатки, подписи, голоса, изображения губ, ушей, динамики почерка и походки, установлено, что ни одна из характеристик не удовлетворяет требованиям по перечисленным свойствам. Необходимым условием использования тех или иных БХЧ является их универсальность и уникальность, что косвенно может быть обосновано их взаимосвязью с генотипом или кариотипом человека.

Распознавание по отпечаткам пальцев

Распознавание по отпечаткам пальцев — самый распространенный статический метод биометрической идентификации, в основе которого лежит уникальность для каждого человека рисунка папиллярных узоров на пальцах. Изображение отпечатка пальца, полученное с помощью специального сканера, преобразуется в цифровой код (свертку) и сравнивается с ранее введенным шаблоном (эталоном) или набором шаблонов (в случае аутентификации). Ведущие производители оборудования (сканеров отпечатков пальцев):

• BioLink, http://www.biolink.ru/, http://www.biolinkusa.com/;
• Bioscrypt, http://www.bioscrypt.com/;
• DigitalPersona, http://www.digitalpersona.com/;
• Ethentica, http://www.ethentica.com/;
• Identix, http://www.identix.com/;
• Precise Biometrics, http://www.precisebiometrics.com/;
• Saflink, http://www.saflink.com/.

Ведущие производители сенсоров (считывающих элементов для сканирующих устройств):

• Atmel, http://www.atmel.com/, http://www.atmel-grenoble.com/;
• AuthenTec, http://www.authentec.com/;
• Veridicom, http://www.veridicom.com/;
• Fujitsu, http://www.fujitsu.com/.

Распознавание по форме руки

Данный статический метод построен на распознавании геометрии кисти руки, также являющейся уникальной биометрической характеристикой человека. С помощью специального устройства, позволяющего получать трехмерный образ кисти руки (некоторые производители сканируют форму нескольких пальцев), получаются измерения, необходимые для получения уникальной цифровой свертки, идентифицирующей человека. Ведущие производители:

• Recognition Systems, http://www.recogsys.com/, http://www.handreader.com/;
• BioMet Partners, http://www.biomet.ch/.

Распознавание по радужной оболочке глаза

Этот метод распознавания основан на уникальности рисунка радужной оболочки глаза. Для реализации метода необходима камера, позволяющая получить изображение глаза человека с достаточным разрешением, и специализированное программное обеспечение, позволяющее выделить из полученного изображения рисунок радужной оболочки глаза, по которому строится цифровой код для идентификации человека.

Iridian — крупнейший производитель в данной области, на решениях этой компании базируются практически все разработки других: LG, Panasonic, OKI, Saflink и т. д. (http://www.iridiantech.com/).

Распознавание по форме лица

В данном статическом методе идентификации строится двух- или трехмерный образ лица человека. С помощью камеры и специализированного программного обеспечения на изображении или наборе изображений лица выделяются контуры бровей, глаз, носа, губ и т. д., вычисляются расстояния между ними и другие параметры, в зависимости от используемого алгоритма. По этим данным строится образ, выраженный в цифровой форме для сравнения. Причем количество, качество и разнообразие (разные углы поворота головы, изменения нижней части лица при произношении ключевого слова и т. д.) считываемых образов может варьироваться в зависимости от алгоритмов и функций системы, реализующей данный метод. Ведущие производители:

• AcSys Biometrics, http://www.acsysbiometrics.com/;
• A4 Vision, http://www.a4 vision.com/;
• Cognitec Systems, http://www.cognitecsystems.de/, http://www.cognitec.com/;
• Identix, http://www.identix.com/;
• Imagis, http://www.imagistechnologies.com/;
• Vicar Vision, http://www.vicarvision.nl/;
• ZN Vision, http://www.zn-ag.com/.

К динамическим относят те характеристики, которые могут меняться со временем. Это такие параметры, как почерк, подпись, голос и т. д.

Распознавание по рукописному почерку

Как правило, для этого динамического метода идентификации человека используется его подпись (иногда написание кодового слова). Цифровой код идентификации формируется по динамическим характеристикам написания, то есть для идентификации строится свертка, в которую входит информация по графическим параметрам подписи, временным характеристикам нанесения подписи и динамики нажима на поверхность в зависимости от возможностей оборудования (графический планшет, экран карманного компьютера и т. д.). Ведущие производители:

• CIC (Communication Intelligence Corporation), http://www.cic.com/;
• Cyber-SIGN, http://www.cybersign.com/;
• SOFTPRO, http://www.signplus.com/;
• Valyd, http://www.valyd.com/.

Распознавание по клавиатурному почерку

Метод в целом подобен описанному выше, однако вместо подписи в нем используется некое кодовое слово, а из оборудования требуется только стандартная клавиатура. Основная характеристика, по которой строится свертка для идентификации, — динамика набора кодового слова. Ведущие производители:

• BioPassword Security Software, http://www.biopassword.com/;
• Checco, http://www.biochec.com/.

Распознавание по голосу

В настоящее время развитие этой одной из старейших технологий ускорилось, так как предполагается ее широкое использование при сооружении интеллектуальных зданий. Существует достаточно много способов построения кода идентификации по голосу: как правило, это различные сочетания частотных и статических его характеристик. Ведущие производители:

• Nuance, http://www.nuance.com/;
• Persay, http://www.persay.com/;
• Voicevault, http://www.voicevault.com/.

Однако стоит учесть, что идентификация по статическим характеристикам более надежна, так как не зависит от психоэмоционального состояния человека.

Помимо перечисленных производителей сейчас на рынке биометрии появилась новая группа компаний, чьи решения называются промежуточными. Как правило, это «программное обеспечение-посредник» между оконечным оборудованием и программными системами, в которые интегрируются процедуры биометрической идентификации. Причем посредник может реализовать как просто регистрацию в системе с использованием измерений биометрического сканера (например, Windows Logon), так и самостоятельные функции, например создание криптографических контейнеров с помощью ключа, получаемого только по определенному отпечатку пальца.

Недостатки

К недостаткам биометрической аутентификации стоит отнести следующие. Прежде всего, это недостатки самих биометрических сканеров. Например, сканеры отпечатков пальцев могут быть оптическими и электронными. Первые обеспечивают более качественное изображение, однако быстрее загрязняются и более требовательны к чистоте рук. Вторые — менее надежные и качественные, зато могут распознавать отпечатки не слишком чистых пальцев.

Второй недостаток — это крайне сложная корректная настройка оборудования, вернее, речь идет об установке корректного порогового значения ошибки. FAR (False Acceptance Rate) — вероятность допуска в систему незарегистрированного человека, FRR (False Rejection Rate) — это процент ложных отказов в допуске. Порог чувствительности является своеобразной гранью идентификации. Человек, имеющий сходство какой-либо характеристики выше предельного, будет допущен в систему, и наоборот. Значение порога администратор может изменять по своему усмотрению. Таким образом, это накладывает определенные обязательства на администратора системы, ведь обеспечение баланса между удобством и надежностью требует больших усилий.

Третьим недостатком, связанным с внедрением таких систем, является недовольство сотрудников компаний, связанное с возможностью контроля рабочего времени. Тем более что системы учета рабочего времени сотрудников все равно существуют.

Биометрические сканеры невозможно применять для идентификации людей с некоторыми физическими недостатками, как утверждает профессор антропологии Университетского колледжа Лондона Анжела Сесс. Так, применение сканеров сетчатки глаза будет сложным для тех, кто носит очки или контактные линзы, а человек, больной артритом, не сможет ровно положить палец на сканер отпечатка. Еще одна проблема — рост. Сканирование лица может оказаться затруднительным, если рост человека ниже 1,55 м или выше 2,1 м. Преступники, по словам профессора Сесс, смогут легко обмануть биометрические системы. К недостаткам такого способа идентификации можно еще отнести возможность воспользоваться муляжом отпечатка, что было успешно продемонстрировано заключенными шотландской тюрьмы строгого режима Glenochil.

Биометрия в Windows 7

В состав Windows 7 входит биометрическая платформа Windows — Windows Biometric Framework, которая обеспечивает единообразное представление сканеров отпечатков пальцев и других биометрических устройств в форме, удобной высокоуровневым приложениям, а также позволяет единообразно использовать приложения для анализа отпечатков пальцев. В предыдущих версиях Windows сканеры отпечатков пальцев поддерживались как средство регистрации в системе. Такими сканерами сейчас оборудованы многие переносные компьютеры, но для их работы были необходимы драйверы и специальное программное обеспечение. Теперь поддержка таких устройств является частью Windows 7, и для их работы ничего, кроме драйвера, не требуется.

Анализ мер по снижению риска биометрической аутентификации

Если на предприятии вместе с Windows 7 планируется внедрение биометрического механизма проверки, например сканирования отпечатков пальцев, следует заранее учесть следующие соображения.

• Биометрические системы обычно требуют хранения на компьютере информации, которая может использоваться для установления личности. По этой причине предприятию придется заниматься обеспечением конфиденциальности.
• Многие современные переносные компьютеры обладают встроенными сканерами отпечатков пальцев, что может упростить внедрение биометрического решения, однако по функциональности и качеству распознавания такие встроенные устройства уступают специализированному оборудованию. Следует сравнить относительное качество по таким показателям, как коэффициент ложного пропуска, коэффициент ложного отказа, коэффициент ошибок кроссовера, коэффициент ошибок регистрации и пропускная способность.
• Если по характеру работы пользователи или компьютеры оказываются в загрязненных помещениях, где сложно поддерживать чистоту рук или требуются перчатки, сканеры отпечатков использовать не удастся. Эту проблему можно решить за счет систем анализа других физиологических параметров, например геометрии лица, радужной оболочки глаза или ладони.
• Наряду с биометрическим подтверждением пользователю необходимо предоставлять какое-либо иное свидетельство, например ключевую фразу, PIN-код или смарт-карту, поскольку биометрические устройства можно обмануть.

Процесс снижения рисков

Особенности внедрения биометрических средств на каждом предприятии свои. Однако общую последовательность действий определить можно.

1. Установить, какие из имеющихся механизмов проверки биометрических данных больше подходят нуждам предприятия.
2. Проанализировать внутреннюю документацию по обеспечению конфиденциальности, чтобы убедиться в возможности управления конфиденциальными биометрическими данными.
3. Определить требования к оборудованию, используемому при биометрическом сканировании, и наметить сроки выполнения этих требований.
4. Определить элементы инфраструктуры, необходимые для биометрического сканирования, такие как инфраструктура публичных ключей или требования к клиентскому программному обеспечению.
5. Установить, у каких сотрудников могут возникнуть проблемы с использованием биометрической системы, и подобрать для них альтернативные варианты, например проверку по имени пользователя и паролю или смарт-карте с PIN-кодом.
6. Заранее обучить пользователей обращению с системой биометрической проверки подлинности, а тех, кто не сможет ею пользоваться, — альтернативным методам проверки.
7. Провести масштабный пилотный запуск в целях выявления и разрешения проблем до начала повсеместного внедрения.
8. Следуя инструкциям производителя по сканированию и проверке, ввести данные о пользователях в биометрическую систему.
9. Обучить пользователей обращению с системой, обеспечить помощь для тех, кто испытывает трудности.
10. Необходимо учесть, что некоторые пользователи могут категорически отказаться применять биометрическую систему. Для таких пользователей следует предусмотреть альтернативный способ проверки подлинности.

Использование групповой политики для снижения рисков, связанных с биометрической проверкой

Доступные в данной категории параметры находятся в разделе редактора групповых политик Конфигурация компьютераАдминистративные шаблоныКомпоненты WindowsБиометрия.

В таблице 5 приведены параметры этой технологии, применимые к Windows 7.

В заключение хотелось бы подчеркнуть, что биометрическая аутентификация пока не может служить альтернативой многофакторной аутентификации на смарт-картах. На сегодня, по моему мнению, это скорее удобство, чем полноценная технология безопасности. Но, может быть, это поможет пользователям не забывать свои пароли, кто знает?

Владимир Безмалый (vladb@windowslive.com) — специалист по обеспечению безопасности, MVP Consumer Security, Microsoft Security Trusted Advisоr 

Компания Microsoft рассказала о своих амбициозных планах добавить в качестве альтернативы паролям биометрическую аутентификацию, которая войдет в состав Windows 10. Попытки заменить пароли чем-то более совершенным продолжаются уже долгие годы. Но у Windows Hello (так в Microsoft называют эту платформу) шансы на победу над древней системой аутентификации с помощью набора символов, пожалуй, наиболее высоки.

Подобрать приемлемую альтернативу паролям не так-то просто: каждая из инициатив вызывает ряд вопросов по части внедрения и/или практичности. Скажем, существует идея заменить пароли татуировками, но она, очевидно, нелепа. У биочипов перспективы, пожалуй, существенно лучше, но все же многие люди наверняка откажутся имплантировать чип в свое тело. Платформа Digits, которую разработали в Twitter, выглядит весьма многообещающе, но ее внедрение требует координации множества людей и компаний.

Камеры работают в инфракрасном диапазоне, чтобы правильно определять соответствие лица или радужной оболочки в разных условиях освещения

Операционные системы семейства Windows (от Windows 95 до Windows 8.1), по сведениям Net Marketshare, занимают 90% рынка. Это позволяет быть уверенным, что Windows 10 также получит немалую долю. Следовательно, Windows 10 может продвинуть в массы системы биометрической аутентификации, которые сейчас в основном интересуют гиков и исследователей.

Используя комбинацию аппаратных и программных средств, компьютеры, работающие под управлением Windows 10, как традиционные ПК, так и мобильные, смогут предложить аутентификацию по отпечатку пальца, лицу или радужной оболочке глаза.

«При распознавания лица или радужной оболочки глаза Windows 10 использует специальное аппаратное и программное обеспечение, чтобы понять, что это действительно вы, а не ваша фотография, — говорит Джо Белфиор, вице-президент отделения Microsoft, отвечающего за разработку операционных систем. — Камеры работают в инфракрасном диапазоне, чтобы правильно определять соответствие лица или радужной оболочки в разных условиях освещения».

В Windows 10 пользователи получат возможность биометрической аутентификации

Tweet

Компьютеры со встроенными датчиками отпечатков пальцев будут совместимы с Windows Hello после установки Windows 10. Более новые устройства, изначально разработанные для использования с Windows 10, будут содержать специализированное «железо», включая камеры, которые могут видеть в ИК-диапазоне, устройства чтения отпечатков пальцев и другие биометрические датчики.

Все мы знаем о том, что у паролей есть существенные недостатки. Хорошие пароли действительно сложно подобрать, но не менее сложно их и запомнить. Плохие пароли запомнить несложно, но и подобрать можно очень быстро. Кроме того, обилие разнообразных сервисов заставляет людей использовать один и тот же пароль на нескольких сайтах.

Конечно, можно пытаться быть примерным пользователем и создавать для каждого сервиса уникальный сложный пароль. Но все это заканчивается тем, что мы вынуждены держать в голове десятки сложных комбинаций символов, которые даже по отдельности запомнить нелегко. Большинству людей такие перспективы не нравятся, в итоге многие используют в качестве пароля бессмертное «12345», а взломы учетных записей происходят регулярно, нередко с весьма интересными последствиями.

Разумеется, на данный момент серьезный анализ уровня защиты, которую предложит Windows Hello в частности и Windows 10 в целом, невозможен хотя бы по той причине, что финальная версия Windows 10 еще не представлена. До анонса еще несколько месяцев, придется подождать. Сама Microsoft обещает «уровень защиты корпоративного класса». Что, впрочем, не является сюрпризом — было бы удивительно, если бы компания этого не обещала.

Есть как минимум одна хорошая новость: Microsoft обещает хранить биометрические данные локально. Так что снимки отпечатков пальцев, лиц и радужных оболочек пользователей будут существовать только на самих устройствах, а не на каком-то сервере где-то в штаб-квартире Microsoft.

POCO, ACE, Loki и другие продвинутые C++ библиотеки

NullReferenced 13.05.2025

В C++ разработки существует такое обилие библиотек, что порой кажется, будто ты заблудился в дремучем лесу. И среди этого многообразия POCO (Portable Components) – как маяк для тех, кто ищет. . .

Паттерны проектирования GoF на C#

UnmanagedCoder 13.05.2025

Вы наверняка сталкивались с ситуациями, когда код разрастается до неприличных размеров, а его поддержка становится настоящим испытанием. Именно в такие моменты на помощь приходят паттерны Gang of. . .

Создаем CLI приложение на Python с Prompt Toolkit

py-thonny 13.05.2025

Современные командные интерфейсы давно перестали быть черно-белыми текстовыми программами, которые многие помнят по старым операционным системам. CLI сегодня – это мощные, интуитивные и даже. . .

Конвейеры ETL с Apache Airflow и Python

AI_Generated 13.05.2025

ETL-конвейеры – это набор процессов, отвечающих за извлечение данных из различных источников (Extract), их преобразование в нужный формат (Transform) и загрузку в целевое хранилище (Load). . . .

Выполнение асинхронных задач в Python с asyncio

py-thonny 12.05.2025

Современный мир программирования похож на оживлённый мегаполис – тысячи процессов одновременно требуют внимания, ресурсов и времени. В этих джунглях операций возникают ситуации, когда программа. . .

Работа с gRPC сервисами на C#

UnmanagedCoder 12.05.2025

gRPC (Google Remote Procedure Call) — открытый высокопроизводительный RPC-фреймворк, изначально разработанный компанией Google. Он отличается от традиционых REST-сервисов как минимум тем, что. . .

CQRS (Command Query Responsibility Segregation) на Java

Javaican 12.05.2025

CQRS — Command Query Responsibility Segregation, или разделение ответственности команд и запросов. Суть этого архитектурного паттерна проста: операции чтения данных (запросы) отделяются от операций. . .

Шаблоны и приёмы реализации DDD на C#

stackOverflow 12.05.2025

Когда я впервые погрузился в мир Domain-Driven Design, мне показалось, что это очередная модная методология, которая скоро канет в лету. Однако годы практики убедили меня в обратном. DDD — не просто. . .

Исследование рантаймов контейнеров Docker, containerd и rkt

Mr. Docker 11.05.2025

Когда мы говорим о контейнерных рантаймах, мы обсуждаем программные компоненты, отвечающие за исполнение контейнеризованных приложений. Это тот слой, который берет образ контейнера и превращает его в. . .

Micronaut и GraalVM — будущее микросервисов на Java?

Javaican 11.05.2025

Облачные вычисления безжалостно обнажили ахиллесову пяту Java — прожорливость к ресурсам и медлительный старт приложений. Традиционные фреймворки, годами радовавшие корпоративных разработчиков своей. . .