Windows Hello 是一种基于生物识别技术的技术,它使 Windows 10 用户(以及更新到 Windows 11 的用户)仅通过指纹、虹膜扫描或面部识别就可以验证对其设备、应用程序、在线服务和网络的安全访问。 登录机制本质上是密码的替代方案,被广泛认为是一种比使用密码的传统登录方式更加用户友好、安全和可靠的访问关键设备、服务和数据的方法。
“Windows Hello 解决了一些问题:安全和不便,”Moor Insights & Strategy 总裁兼首席分析师 Patrick Moorhead 说。 “传统密码不安全,因为它们很难记住,因此人们要么选择容易猜到的密码,要么记下密码。”
[相关:Windows Hello 企业版:Windows 商店的下一代身份验证]
人们在多个站点和应用程序中使用相同的密码(或变体)的情况并不少见。 Windows Hello 和其他生物识别身份验证功能(如 Apple 的 Face ID 或 Touch ID)旨在提供一种独特且更安全的密码替代方案,因为它依赖于更难破解的技术。
Windows Security 首席集团项目经理凯瑟琳·霍尔兹沃斯 (Katharine Holdsworth) 表示:“由于我们生活中的一切都更加依赖于上网,因此我们已经做好了使用密码的准备。”
“密码使用起来很麻烦,它们会给各种规模的用户和组织带来安全风险…… 通过多因素身份验证,帐户被盗用的可能性降低了 99.9%。”
Windows Hello 的工作原理
Windows Hello 通过消除对密码的需要和身份更有可能被盗的其他方法来限制 Windows 的攻击面。
“Windows Hello 使用 3D 结构光来创建某人的面部模型,然后使用反欺骗技术来限制人们创建假头或面具来欺骗系统的成功,”Moorhead 说。
[ 2023 年 CIO 100 奖:提名征集开始。 今天提交。 ]
Windows 用户可以在帐户设置下的登录选项中设置 Windows Hello。 用户需要建立面部扫描、虹膜扫描或指纹才能开始,但他们始终可以改进这些扫描,并添加或删除额外的指纹。 设置完成后,扫一眼他们的设备或扫描手指即可解锁对 Microsoft 帐户、核心应用程序和使用 API 的第三方应用程序的访问权限。
FIDO 规范的采用意味着微软的合作伙伴可以在通过 Windows Hello 登录时提供安全密钥以提供额外的保护层。
FIDO 规范于 2014 年由 FIDO 联盟制定,该联盟目前包括 250 多家公司,但由 PayPal、联想、Nok Nok Labs、Validity Sensors、英飞凌和 Agnitio 创立。 据该组织称,如今数百种设备都采用了 FIDO 身份验证技术。
Microsoft 还支持最新版本的安全协议 FIDO2。 这使用户可以访问基于标准的设备,例如在登录 Microsoft 帐户时提供额外保护层的 USB 安全密钥。
谁使用 Windows Hello?
Windows Hello 是为企业和消费者设计的,并且在这两个方面都受到了关注。 在微软的 Ignite 2017 大会上,该公司宣布超过 3700 万人已经在使用 Windows Hello,超过 200 家公司已经部署了 Windows Hello 企业版。 (据该公司称,当时,微软 IT 团队之外最大的企业部署包括超过 25,000 名用户。)
这些数字只增不减。 去年 12 月,微软称 2020 年是 Windows Hello 的“突破年”,截至 2020 年 5 月,每月用户超过 1.5 亿,到年底几乎翻了一番。
你为什么想要 Windows Hello?
简而言之,密码是一种拖累。 在这个密码泛滥(以及人类健忘)的时代,有安全意识的用户意识到通过指纹、面部识别或虹膜扫描来访问设备、重要账户和数据可能是更安全的选择。 即便如此,密码“仍然是最常用的登录机制,但也是让最终用户感到沮丧的根源,”他说
标普全球市场情报部门 451 Research 的高级分析师 Raúl Castañón。
Microsoft 正在与越来越多的服务提供商合作,为其用户提供一种更加无缝的方法来使用 Windows Hello 验证多个重要帐户。 所有 Microsoft Office 应用程序都支持 Windows Hello,以及 Dropbox 等第三方工具。
Windows Hello 也已集成到 Google Chrome 中,在 Windows 中使用浏览器时启用付款身份验证。
硬件要求是什么?
Windows Hello 的入门门槛相对较低,但它确实有特定的硬件要求。 微软的 Surface Pro、Surface Book 和大多数配备指纹扫描仪或摄像头的 Windows 10 PC 可以捕获二维红外光谱,都与 Windows Hello 兼容。
微软还与设备制造商合作,为所有 Windows Hello 用户保持一致的性能和安全性,并设置高级基准和参考设计来建立基准要求。 据微软称,指纹传感器可接受的性能范围是错误接受率低于 0.002%,面部识别传感器的可接受范围是错误接受率低于 0.001%。 这相当于十万分之一的指纹识别率和面部识别率的一半。 (为了进行比较,Apple 称其 Face ID 被骗的几率为百万分之一,而 Touch ID 被骗的几率为 50,000 分之一。)
此外,没有反欺骗或活体检测的指纹和面部识别扫描仪的错误拒绝率必须低于 5%。 根据微软的指导方针,采用反欺骗技术的指纹和面部识别扫描仪的错误拒绝率必须低于 10%。
对于那些不熟悉这项技术的人来说,活体检测的作用和它听起来的差不多:它在解锁设备或应用程序之前确定用户是一个活人。 所有传感器都必须包括活体检测等反欺骗措施,但这些反欺骗功能的配置是可选的,并且因系统而异。
Windows Hello 与 Face ID 相比如何?
Windows Hello 没有直接竞争对手,因为它对 Windows 10 设备具有排他性,但它确实面临着来自苹果、三星、谷歌和其他为其设备和相关生态系统提供类似技术的公司的间接竞争。 现在大多数 iPhone 和 iPad 都在使用 Apple 的 Face ID。 (在平板电脑上,它甚至可以在横向模式下工作。)
“Windows Hello 与 Apple Face ID 和 Google Android 生物识别技术非常相似,”Castañon 说。 “这三者都提供设备上的生物特征认证; 这意味着面部或指纹数据被加密并存储在设备上,而不是服务器上——这是可以破解的,因此本质上是不安全的。
Apple 生物识别身份验证的流行可能有助于通过吸引人们对该技术优势的关注来鼓励采用。
“考虑到易用性以及 Apple Face ID——可能是最著名的面部认证——已经使这种机制为广大消费者所熟知这一事实,我们可以预期设备上的面部和指纹认证将继续受到关注, ”卡斯塔尼翁说。
根据 Moorhead 的说法,Apple 的 Face ID 和指纹扫描仪是 Windows Hello 最明显的竞争对手,尽管根据他的经验,Windows 在弱光环境下运行得更好。 “Face ID 可以在眼镜上使用,而 Windows Hello 则不能……。 Windows Hello 在黑暗中运行良好。 面容 ID,没那么多,”他说。 “Windows Hello 或 Face ID 在非常明亮的光线下都无法正常工作,但指纹扫描仪在明亮的光线和黑暗中都能正常工作。”
Windows Hello 在企业中的下一步是什么?
虽然企业将受益于改进的用户体验和增强,但应该注意的是,Windows 只是设备级别的一层保护。
“[T]his 意味着它应该被视为对企业正在部署的其他安全机制(例如,在应用程序级别)的补充,而不是替代,例如基于 AI 的行为生物识别技术,”Castañon 说。
微软表示,Windows Hello 将继续在 Windows 11 中为用户提供无密码访问,它将受益于可信平台模块 (TPM),这是 Windows 11 设备所需的加密处理器芯片。 TPM 芯片将集成到主板或添加到 CPU,并将在硬件级别为 Windows Hello 数据提供额外的安全性。
“在 Windows 11 中,我们将继续关注安全性,以帮助客户保持安全,”Holdsworth 说。 “这将包括对 Windows 11 安全功能的投资和新的必需硬件基准,以确保我们提供安全和保障,以帮助保护我们的客户免受持续不断且越来越多的复杂攻击。”
