Замена паролей
на биометрическую
аутентификацию

Решение на основе Indeed AM использует физические параметры пользователя для строгой аутентификации в корпоративных ИТ-системах

Запланировать демонстрацию

Описание решения

Современные технологии биометрических методов защиты информации решают проблемы паролей, использование которых сопряжено с рисками информационной безопасности и неэффективной работой сотрудников.


Подбор паролей

Пользователи не применяют сложные или длинные пароли, т.к. их трудно придумывать и запоминать. Это позволяет злоумышленникам выполнять подбор паролей учетных записей сотрудников в короткие сроки (от 1 минуты). Часто сотрудники применяют один пароль для всех приложений и сервисов, что усугубляет проблему - подобрав пароль к одной из систем, злоумышленник получает доступ ко всем доступным сотруднику ресурсам.


Раскрытие и передача паролей

Рядовые сотрудники не придают важности сохранению паролей в секрете и часто записывают их прямо на рабочем месте. Кроме того, они часто сообщают свой пароль коллегам, с просьбой выполнить какие-либо действия в их отсутствие (отправить отчет, просмотреть почту и пр.). Такая ситуация упрощает злоумышленнику задачу получения чужих паролей и не требует от него использования сложных технических решений.


Забытые пароли

Даже если сотрудник добросовестно выполняет регламенты информационной безопасности по использованию паролей, он может создавать дополнительную нагрузку на службу ИТ. Сложные пароли трудно запомнить и их чаще забывают, что приводит к заблокированным учетным записям и необходимости сброса паролей в известное значение.


Использование паролей уволенными сотрудниками

Если при увольнении сотрудника служба ИТ не успела или забыла заблокировать его учетную запись, сотрудник может получить доступ к конфиденциальной информации и передать ее конкурентам.

Современные биометрические средства защиты информации и технологии исключают пароли из жизни сотрудников и обладают следующими преимуществами.

Высокий уровень безопасности

Биометрическая аутентификация позволяет с высокой точностью выполнять процедуру проверки личности пользователя (с вероятностью ошибки до 0.00001%, в зависимости от технологии). Это позволяет использовать биометрические методы контроля доступа в любых бизнес-сценариях, требующих надежных способов защиты персональных данных сотрудников.

Неотчуждаемость аутентификационных данных

В отличие от паролей или смарт-карт, которые можно забыть, потерять или передать третьему лицу, биометрические аутентификационные данные всегда с пользователем.

Удобство использования

Биометрическая идентификация и аутентификация не требуют от пользователя запоминать сложные пароли или хранить какое-либо устройство (токен, карту и пр.), сотрудник не сможет забыть или потерять аутентификационные данные.

Задачу защиты корпоративного ПК с помощью биометрической аутентификации можно сформулировать следующим образом:

  1. Необходимо обеспечить биометрические системы контроля доступа:
    • в ОС Windows (доменный ПК)
    • в целевые приложения
  2. Решение должно поддерживать различные технологии биометрической аутентификации:
    • отпечаток пальца
    • рисунок вен ладони
    • 2D и 3D изображение лица

Для обеспечения системы контроля доступа используется программный комплекс Indeed Access Manager (Indeed AM). Комплекс позволяет реализовать биометрическую аутентификацию пользователя в ОС Windows и приложениях.

Доступ в операционную систему Windows с применением учетных данных домена Active Directory обеспечивается с помощью компонента Indeed AM Windows Logon. Данное средство реализует Credential Provider - интерфейс доступа в операционную систему. Штатный интерфейс входа в ОС заменяется на интерфейс Indeed AM Windows Logon, где применяются различные динамические методы аутентификации, в частности, с использованием биометрической защиты информации. Интеграция с Windows позволяет применять Indeed AM Windows Logon в различных видах управления доступом: локальный вход на ПК, удаленный рабочий стол (RDP), аутентификация внутри ОС. Система контроля является централизованной, что позволяет входить на один ПК с использованием одного сканера разным сотрудникам (с использованием своих доменных учетных записей), также один человек может выполнять вход на любой ПК домена.

Indeed Access Manager не заменяет штатную систему аутентификации Active Directory, а автоматизирует методы управления паролями пользователей. Парольная аутентификация становится внутренним механизмом, который используется только на программном уровне. В момент регистрации в Indeed Access Manager первого аутентификатора (биометрического шаблона и др.) пользователя его пароль автоматически меняется на случайное значение. Таким образом, доступ в домен становится возможным только с использованием технологии Indeed AM.

Для приложений, с которыми сотрудники работают на своих ПК (по схеме “толстый” или “тонкий” клиент), биометрическая аутентификация реализуется с помощью компонента Indeed AM Enterprise Single Sign-On (Indeed AM ESSO). Архитектура Indeed AM ESSO позволяет интегрироваться с целевым приложением и использует перехват экранных форм входа, для разблокировки и смены пароля в приложении. В момент, когда появляется форма входа в целевое приложение, экран блокируется и от человека требуется пройти процедуру аутентификации личности: приложить палец к сканеру отпечатков или терминалу и др.; после чего агент Indeed AM ESSO автоматически заполняет форму входа и пользователь получает доступ в приложение.

В состав Indeed Access Manager входят следующие основные компоненты:

Indeed Enterprise Server (Сервер) - серверный компонент инфраструктуры Indeed Access Manager. Сервер обеспечивает централизованное единое хранение и защиту биометрических данных пользователей, осуществляет процедуру аутентификации пользователя, прием и обработку запросов со стороны клиентских компонентов и со стороны инструментов администратора.

Indeed AM Windows Logon - клиентское ПО, устанавливаемое на рабочие места сотрудников. Windows Logon обеспечивает возможность доступа в Windows с помощью технологий строгой аутентификации пользователей.

Indeed AM ESSO агент - клиентское ПО, устанавливаемое на рабочие места сотрудников. ESSO агент выполняет перехват экранных форм приложений и обеспечивает возможность доступа в них с помощью технологий строгой аутентификации пользователей.

База данных Indeed Access Manager. В базе хранятся настройки системы и эталонные биометрические шаблоны, используемые сервером для аутентификации пользователей.

Журнал Indeed AM. Все события, возникающие в системе, сохраняются в журнале Indeed AM. Журнал фиксирует дату, время, имя пользователя, имя учетной записи Active Directory, имя учетной записи целевой системы, факт использования учетный данных, факт входа в целевые системы и т.п. В журнале фиксируется каким способом и с применением какой технологии аутентификации сотрудник получал доступ в систему.

На данный момент Indeed AM поддерживает следующие виды биометрических технологий (биометрические считыватели доступа):

Аутентификация по отпечаткам пальцев

Биометрическая система защиты по отпечаткам пальцев является наиболее распространенной технологией биометрической аутентификации. Удобна для использования на офисных ПК, подходит для большого количества аутентификаций в течение рабочего дня.

Аутентификация по 2D и 3D изображению лица на базе технологии Intel RealSense

Аутентификация по лицу применяется с помощью технологии Intel RealSense™, позволяющей с высокой точностью распознать биометрические данные, в том числе в инфракрасном диапазоне, что обеспечивает высокую точность аутентификации.

Аутентификация по рисунку вен ладони в реализации сканера Fujitsu PalmSecure v2

Бесконтактная технология биометрической аутентификации. Хорошо адаптирована для офисного режима работы, также может эффективно использоваться в устройствах общего биометрического доступа. Технология гигиенична и, в отличие от отпечатков пальцев, не предъявляет требований к состоянию поверхности кожи (загрязнение, порезы и т.п.).

Получить бюджетную оценку проекта

Получить опросный лист

отзывы клиентов

Консультация эксперта

Опыт работы ключевых сотрудников компании в отрасли информационной безопасности составляет более 10 лет. Силами наших специалистов успешно реализованы сотни проектов для компаний из различных отраслей: банки, телекоммуникация, энергетика, транспорт, государственные и учебные заведения.

Антон Шлыков

Руководитель службы технической поддержки

Николай Ильин

Эксперт по продукту Indeed AM

Владислав Фомичев

Эксперт по продукту Indeed AМ

Денис Павлов

Эксперт по продукту Indeed AМ

другие решения