Замена паролей
на биометрическую
аутентентификацию

Получить решение

Описание решения

Технологии биометрической аутентификации решают проблемы паролей, использование которых сопряжено с рисками информационной безопасности и неэффективной работой сотрудников.


Подбор паролей

Пользователи не применяют сложные или длинные пароли, т.к. их трудно придумывать и запоминать. Это позволяет злоумышленникам выполнять подбор паролей учетных записей сотрудников в короткие сроки (от 1 минуты). Часто сотрудники применяют один пароль для всех приложений и сервисов, что усугубляет проблему - подобрав пароль к одной из систем, злоумышленник получает доступ ко всем доступным сотруднику ресурсам.


Раскрытие и передача паролей

Пользователи не применяют сложные или длинные пароли, т.к. их трудно придумывать и запоминать. Это позволяет злоумышленникам выполнять подбор паролей учетных записей сотрудников в короткие сроки (от 1 минуты). Часто сотрудники применяют один пароль для всех приложений и сервисов, что усугубляет проблему - подобрав пароль к одной из систем, злоумышленник получает доступ ко всем доступным сотруднику ресурсам.


Забытые пароли

Даже если сотрудник добросовестно выполняет регламенты информационной безопасности по использованию паролей, он может создавать дополнительную нагрузку на службу ИТ. Сложные пароли трудно запомнить и их чаще забывают, что приводит к заблокированным учетным записям и необходимости сброса паролей в известное значение.


Использование паролей уволенными сотрудниками

Даже если сотрудник добросовестно выполняет регламенты информационной безопасности по использованию паролей, он может создавать дополнительную нагрузку на службу ИТ. Сложные пароли трудно запомнить и их чаще забывают, что приводит к заблокированным учетным записям и необходимости сброса паролей в известное значение.

Биометрические методы защиты информации и технологии исключают пароли из жизни сотрудников и обладают следующими преимуществами.

Высокий уровень безопасности

Биометрическая аутентификация позволяет с высокой точностью выполнять процедуру верификации пользователя (с вероятностью ошибки до 0.00001%, в зависимости от технологии). Это позволяет использовать биометрические системы идентификации в любых бизнес-сценариях, требующих надежной аутентификации пользователя.

Неотчуждаемость аутентификационных данных

В отличие от паролей или смарт-карт, которые можно забыть, потерять или передать третьему лицу, биометрические аутентификационные данные всегда с пользователем.

Удобство использования

Биометрическая идентификация и аутентификация не требуют от пользователя запоминать сложные пароли или хранить какое-либо устройство (токен, карту и пр.), сотрудник не сможет забыть или потерять аутентификационные данные.

Задачу защиты корпоративного ПК с помощью биометрической аутентификации можно сформулировать следующим образом:

  1. Необходимо обеспечить биометрическую аутентификацию пользователей при доступе
    • в ОС Windows (доменный ПК)
    • в целевые приложения
  2. Решение должно поддерживать различные технологии биометрической аутентификации:
    • отпечаток пальца
    • рисунок вен ладони
    • 2D и 3D изображение лица

Для решения данной задачи используется программный комплекс Indeed Access Manager (Indeed AM). Комплекс позволяет реализовать необходимые сценарии аутентификации в ОС Windows и приложениях.

Доступ в операционную систему Windows с применением учетных данных домена Active Directory обеспечивается с помощью компонента Indeed AM Windows Logon. Данный компонент реализует Credential Provider - интерфейс доступа в операционную систему. Штатный интерфейс входа в ОС заменяется на интерфейс Indeed AM Windows Logon, где доступна возможность применения различных технологий аутентификации, в частности, с использованием биометрии. Интеграция с Windows выполняется по штатным протоколам, что позволяет обеспечить совместимость с подсистемой аутентификации Windows и применять Indeed AM Windows Logon в различных сценариях доступа: локальный вход на ПК, удаленный рабочий стол (RDP), аутентификация внутри ОС. Система является централизованной, что позволяет входить на один ПК с использованием одного сканера разным сотрудникам (с использованием своих доменных учетных записей), также, один сотрудник может выполнять вход на любой ПК домена.

Indeed Access Manager не заменяет штатную систему аутентификации Active Directory, а автоматизирует управление паролями пользователей. В такой конфигурации парольная аутентификация становится внутренним механизмом, который используется только на программном уровне. В момент регистрации в Indeed Access Manager первого аутентификатора (биометрического шаблона и др.) пользователя его пароль автоматически меняется на случайное значение, которое не сообщается ни пользователю, ни администратору системы. Таким образом, доступ в домен становится возможным только с использованием технологии Indeed AM. В дальнейшем пароль пользователя меняется автоматически либо по требованию операционной системы, либо по заданному расписанию.

Для приложений, с которыми сотрудники работают на своих ПК (по схеме “толстый” или “тонкий” клиент), биометрическая аутентификация реализуется с помощью компонента Indeed AM Enterprise Single Sign-On (Indeed AM ESSO). Indeed AM ESSO позволяет интегрироваться с целевым приложением без необходимости программного вмешательства в работу приложений. Для этого используется перехват экранных форм входа, разблокировки и смены пароля в приложении, перехват осуществляется с помощью Indeed AM ESSO агента, устанавливаемого на рабочие станции пользователей. В момент, когда появляется форма входа в целевое приложение, экран блокируется и от пользователя требуется пройти процедуру аутентификации: приложить палец к сканеру отпечатков и др.; после чего агент Indeed AM ESSO автоматически заполняет форму входа и пользователь получает доступ в приложение.

В состав Indeed Access Manager входят следующие основные компоненты:

Indeed Enterprise Server (Сервер) - серверный компонент инфраструктуры Indeed Access Manager. Сервер обеспечивает централизованное хранение и защиту биометрических персональных данных пользователей, осуществляет процедуру аутентификации пользователя, прием и обработку запросов со стороны клиентских компонентов и со стороны инструментов администратора. Наличие сервера гарантирует пользователю доступность данных с любого ПК. Сервер дает возможность администратору настраивать параметры доступа сотрудника (или группы сотрудников), вносить глобальные изменения в систему.

Indeed AM Windows Logon - клиентское ПО, устанавливаемое на рабочие места сотрудников. Windows Logon обеспечивает возможность доступа в Windows с помощью технологий строгой аутентификации пользователей.

Indeed AM ESSO агент - клиентское ПО, устанавливаемое на рабочие места сотрудников. ESSO агент выполняет перехват экранных форм приложений и обеспечивает возможность доступа в них с помощью технологий строгой аутентификации пользователей.

База данных Indeed Access Manager. В базе хранятся настройки системы и эталонные биометрические шаблоны, используемые сервером для аутентификации пользователей.

Журнал Indeed AM. Все события, возникающие в системе сохраняются в журнале Indeed AM. Журнал фиксирует дату, время, имя пользователя, имя учетной записи Active Directory, имя учетной записи целевой системы, факт использования учетный данных, факт входа в целевые системы и т.п. В журнале фиксируется каким способом и с применением какой технологии аутентификации сотрудник получал доступ в систему.

На данный момент Indeed AM поддерживает следующие биометрические технологии (биометрические считыватели доступа):

Аутентификация по отпечаткам пальцев

Биометрическая система защиты по отпечаткам пальцев является наиболее распространенной технологией биометрической аутентификации. Удобна для использования на офисных ПК, подходит для большого количества аутентификаций в течение рабочего дня.

Аутентификация по 2D и 3D изображению лица на базе технологии Intel RealSense

Для аутентификации по форме лица применяется технология Intel RealSense™, позволяющая с высокой точностью получить изображение лица, в том числе в инфракрасном диапазоне, что обеспечивает высокую точность аутентификации. Технология является бесконтактной, что позволяет использовать ее на устройствах общего биометрического доступа.

Аутентификация по рисунку вен ладони в реализации сканера Fujitsu PalmSecure v2

Бесконтактная технология биометрической аутентификации. Хорошо адаптирована для офисного режима работы, также может эффективно использоваться в устройствах общего биометрического доступа. Технология гигиенична и, в отличие от отпечатков пальцев, не предъявляет требований к состоянию поверхности кожи (загрязнение, порезы и т.п.)

отзывы клиентов

Получить консультацию

Опыт работы ключевых сотрудников компании в отрасли информационной безопасности составляет более 10 лет. Силами наших специалистов успешно реализованы сотни проектов для компаний из различных отраслей: банки, телекоммуникация, энергетика, транспорт, государственные и учебные заведения.

Антон Шлыков

Руководитель службы технической поддержки

Николай Ильин

Эксперт по аутентификации пользователей

Николай Лазицкий

Эксперт по управлению цифровыми сертификатами

Максим Кузьмов

Эксперт по управлению привилегированными учетными записями

другие решения