Замена паролей
на биометрическую
аутентификацию

Решение на основе Indeed AM использует физические параметры пользователя для строгой аутентификации в корпоративных ИТ-системах

Запланировать демонстрацию

Описание решения

Проверка прав доступа пользователя осуществляется с помощью его идентификатора и аутентификатора. Идентификатор может быть известен потенциально неограниченному кругу лиц – например, он часто совпадает с адресом электронной почты. Секретной информаций является аутентификатор, поэтому именно на его кражу чаще всего нацелены кибератаки. Завладев аутентификационной информацией, злоумышленник получает возможность скрытно вести вредоносную деятельность от лица легитимного пользователя.

Большинство систем аутентификации до сих пор основаны на использовании пароля (секретного слова). Но такие системы уязвимы к атаке путем подбора пароля и методам социальной инженерии. Более того, в случае кражи пароля выявить факт компрометации практически невозможно до тех пор, пока не произошел явный инцидент.

Для нейтрализации угроз и проблем, связанных с парольной аутентификацией, достаточно применять специализированные методы усиленной аутентификации с использованием соответствующих программ и устройств (токены, смарт-карты, генераторы одноразовых паролей, приложения на смартфоне и т. п.).

Упомянутые решения позволяют нейтрализовать большинство угроз, актуальных для систем идентификации и аутентификации. Однако нужно понимать, что основным мотиватором для преступников является финансовая выгода. Соответственно, если на кону большие суммы, злоумышленники готовы идти на все, чтобы получить доступ к важнейшим данным (коммерческая тайна, финансовая отчетность, консоли управления критичным процессом и т. п.). В том числе на организацию преступных схем для получения непарольных аутентификаторов (кража аппаратных носителей, компрометация удостоверяющего центра, выдающего сертификаты, и т. д.).

Если защищаемые сведения или сегменты ИТ-инфраструктуры представляют очень высокую ценность для злоумышленников, то имеет смысл рассматривать только самые эффективные меры защиты информации.

Максимально безопасную и эффективную усиленную аутентификацию обеспечивают биометрические системы. Ниже перечислены их преимущества перед системами, в которых используются парольная аутентификация, аппаратные носители или цифровые сертификаты.

  • Невозможность компрометации аутентификатора: физиологические и поведенческие биометрические характеристики нельзя обнародовать или украсть. Современные биометрические системы с высокой вероятностью распознают попытки предъявить поддельный биометрический аутентификатор.
  • Низкий риск повреждения аутентификатора: к своему телу пользователь относится бережнее, чем к аппаратному носителю.
  • Отсутствие необходимости помнить секретную информацию или носить с собой специальное устройство: биометрические характеристики неотделимы от человека и всегда находятся с ним.

Иными словами, если конфиденциальная информация защищена с помощью биометрической аутентификации, то получить доступ к такой информации без присутствия пользователя невозможно.

Для того чтобы внедрить систему биометрической аутентификации, необходимо обеспечить ее интеграцию с действующими в организации сервисами и приложениями.

Оптимальным решением будет использовать биометрические сканеры в сочетании с продуктами класса Two-Factor Authentication Provider (2FA Provider) и Enterprise Single Sign-On (ESSO). Применение подобного программного комплекса позволит выстроить такую систему аутентификации, которую невозможно обойти, и реализовать поддержку биометрической аутентификации во всех корпоративных сервисах и приложениях.

Для интеграции биометрической аутентификации в ИТ-инфраструктуру приобретения одних только сканеров может быть недостаточно. Это связано с тем, что программное обеспечение, поставляемое совместно с распространенными моделями биометрических сканеров, направлено на защиту рабочего места в целом (на уровне операционной системы), но не отдельных целевых приложений, которые руководство организации может считать наиболее важными.

Соответственно, при отсутствии дополнительного программного обеспечения, реализующего биометрическую аутентификацию на уровне приложений и веб-приложений, вся система защиты может оказаться неэффективной против актуальных угроз. Прежде всего из-за того, что для аутентификации в приложениях используются уязвимые пароли.

Платформа Indeed AM представляет собой программно-аппаратный комплекс, реализующий централизованные политики управления аутентификацией и технологию единой аутентификации во всех корпоративных сервисах с помощью биометрических признаков.

Indeed AM поддерживает следующие технологии биометрической аутентификации:

  • отпечаток пальца;
  • рисунок вен ладони;
  • геометрия лица (двухмерное и трехмерное изображение).

Каждая из поддерживаемых технологий обладает своими преимуществами и недостатками, которые отмечены в таблице ниже.

Отпечаток пальца Двухмерное изображение лица Трехмерное изображение лица Рисунок вен ладони
Точность распознавания Высокая Средняя Высокая Очень высокая
Точность распознавания Высокая Средняя Высокая Очень высокая
Сложность изготовления муляжа Высокая Средняя Средняя Очень высокая
Удобство использования Высокое Высокое Очень высокое Высокое
Стоимость использования технологии (оборудование, лицензии) Средняя Низкая Средняя Высокая
Гигиеничность Низкая (контактный сенсор) Очень высокая Очень высокая Средняя (бесконтактный сенсор, но есть подставка для руки)
Устойчивость к помехам (загрязнение, порезы и т. п.) Низкая (требуется хорошее состояние кожи пальца) Средняя (требуется хорошее освещение) Очень высокая Очень высокая

Модуль Enterprise Single Sign-On позволяет интегрировать биометрическую аутентификацию на уровне приложений даже в том случае, если целевой сервис не поддерживает никакие сценарии аутентификации, кроме ввода пароля.

Более того, с помощью платформы Indeed AM можно реализовать индивидуальные сценарии аутентификации (в том числе биометрической) для каждого отдельно взятого приложения и веб-приложения. При этом пользователю можно вообще не сообщать пароль, который будет храниться в защищенном хранилище Indeed AM. Соответственно, будут исключены любые варианты аутентификации в обход Indeed AM.

Дополнительное преимущество – возможность интегрировать Indeed AM c системой контроля и управления физическим доступом (СКУД). Это позволит использовать одни и те же биометрические характеристики как для логического доступа к ресурсам информационных систем, так и для физического доступа в помещения организации.

Поддерживаемые каталоги пользователей

  • Active Directory

Поддерживаемые целевые ресурсы

  • Рабочие места под управлением ОС Microsoft Windows
  • Настольные приложения Windows
  • Веб-приложения на рабочих станциях под Windows

Поддерживаемые технологии биометрической идентификации и аутентификации по статическим признакам

  • Отпечатки пальцев
  • Рисунок вен ладони
  • Геометрия лица (двухмерное и трехмерное изображение)

Поддерживаемые модели биометрических сканеров

  • PalmSecure компании Fujitsu (рисунок вен ладони)
  • RealSense компании Intel (трехмерное изображение лица)
  • PalmJet компании BioSmart (рисунок вен ладони)
  • FS-80 компании Futronic (отпечатки пальцев)
  • Веб-камеры любых производителей, обеспечивающие разрешение Full HD (двухмерное изображение лица)

Поддержка интеграции с техническими средствами

  • Средства защиты рабочих станций (Secret Net Studio)
  • Средства управления полномочиями и учетными записями: Solar inRights, 1IDM, КУБ, Microsoft FIM, IBM Tivoli Identity Manager
  • Средства мониторинга и корреляции событий информационной безопасности: решения класса SIEM
  • Средства контроля и управления доступом: «Бастион», АРМ «Орион» компании «Болид», СКУД марки TSS, разработанные компанией «Семь печатей»)

Получить бюджетную оценку проекта

Получить опросный лист

отзывы клиентов

Консультация эксперта

Опыт работы ключевых сотрудников компании в отрасли информационной безопасности составляет более 10 лет. Силами наших специалистов успешно реализованы сотни проектов для компаний из различных отраслей: банки, телекоммуникация, энергетика, транспорт, государственные и учебные заведения.

Антон Шлыков

Руководитель службы технической поддержки

Николай Ильин

Эксперт по продукту Indeed AM

Владислав Фомичев

Эксперт по продукту Indeed AМ

Денис Павлов

Эксперт по продукту Indeed AМ

другие решения