Замена паролей на биометрическую
аутентификацию сотрудников

Защита доступа на корпоративных рабочих местах и дополнительное подтверждение действий пользователей с помощью любых современных биометрических технологий

Технологии биометрической аутентификации решают проблемы паролей, использование которых сопряжено с рисками информационной безопасности и неэффективной работой сотрудников.

Подбор паролей

Пользователи не применяют сложные или длинные пароли, т.к. их трудно придумывать и запоминать. Это позволяет злоумышленникам выполнять подбор паролей учетных записей сотрудников в короткие сроки (от 1 минуты). Часто сотрудники применяют один пароль для всех приложений и сервисов, что усугубляет проблему - подобрав пароль к одной из систем, злоумышленник получает доступ ко всем доступным сотруднику ресурсам.

Раскрытие и передача паролей

Рядовые сотрудники не придают важности сохранению паролей в секрете и часто записывают их прямо на рабочем месте. Кроме того, они часто сообщают свой пароль коллегам, с просьбой выполнить какие-либо действия в их отсутствие (отправить отчет, просмотреть почту и пр.). Такая ситуация упрощает злоумышленнику задачу получения чужих паролей и не требует от него использования сложных технических решений.

Забытые пароли

Даже если сотрудник добросовестно выполняет регламенты информационной безопасности по использованию паролей, он может создавать дополнительную нагрузку на службу ИТ. Сложные пароли трудно запомнить и их чаще забывают, что приводит к заблокированным учетным записям и необходимости сброса паролей в известное значение.

Использование паролей уволенными сотрудниками

Если при увольнении сотрудника служба ИТ не успела или забыла заблокировать его учетную запись, сотрудник может получить доступ к конфиденциальной информации и передать ее конкурентам.

Преимущества биометрических технологий

Биометрические технологии исключают пароли из жизни сотрудников и обладают следующими преимуществами.

Высокий уровень безопасности

Биометрическая аутентификация позволяет с высокой точностью выполнять процедуру верификации пользователя (с вероятностью ошибки до 0.00001%, в зависимости от технологии). Это позволяет использовать биометрию в любых бизнес-сценариях, требующих надежной аутентификации пользователя.

Неотчуждаемость аутентификационных данных

В отличие от паролей или смарт-карт, которые можно забыть, потерять или передать третьему лицу, биометрические аутентификационные данные всегда с пользователем.

Удобство использования

Биометрическая идентификация и аутентификация не требуют от пользователя запоминать сложные пароли или хранить какое-либо устройство (токен, карту и пр.), сотрудник не сможет забыть или потерять аутентификационные данные.

Описание задачи

Задачу защиты корпоративного ПК с помощью биометрической аутентификации можно сформулировать следующим образом:

  1. Необходимо обеспечить биометрическую аутентификацию пользователей при доступе
      • в ОС Windows (доменный ПК)
      • в целевые приложения
  2. Решение должно поддерживать различные технологии биометрической аутентификации:
      • отпечаток пальца
      • рисунок вен ладони
      • 3D изображение лица

Решение

Для решения данной задачи используется программный комплекс Indeed Access Manager (Indeed AM). Комплекс позволяет реализовать необходимые сценарии аутентификации в ОС Windows и приложениях.

Доступ в операционную систему Windows с применением учетных данных домена Active Directory обеспечивается с помощью компонента Indeed AM Windows Logon. Данный компонент реализует Credential Provider - интерфейс доступа в операционную систему. Штатный интерфейс входа в ОС заменяется на интерфейс Indeed AM Windows Logon, где доступна возможность применения различных технологий аутентификации, в частности, с использованием биометрии. Интеграция с Windows выполняется по штатным протоколам, что позволяет обеспечить совместимость с подсистемой аутентификации Windows и применять Indeed AM Windows Logon в различных сценариях доступа: локальный вход на ПК, удаленный рабочий стол (RDP), аутентификация внутри ОС. Система является централизованной, что позволяет входить на один ПК с использованием одного сканера разным сотрудникам (с использованием своих доменных учетных записей), также, один сотрудник может выполнять вход на любой ПК домена.

Indeed Access Manager не заменяет штатную систему аутентификации Active Directory, а автоматизирует управление паролями пользователей. В такой конфигурации парольная аутентификация становится внутренним механизмом, который используется только на программном уровне. В момент регистрации в Indeed Access Manager первого аутентификатора (биометрического шаблона и др.) пользователя его пароль автоматически меняется на случайное значение, которое не сообщается ни пользователю, ни администратору системы. Таким образом, доступ в домен становится возможным только с использованием технологии Indeed AM. В дальнейшем пароль пользователя меняется автоматически либо по требованию операционной системы, либо по заданному расписанию.

Для приложений, с которыми сотрудники работают на своих ПК (по схеме “толстый” или “тонкий” клиент), биометрическая аутентификация реализуется с помощью компонента Indeed AM Enterprise Single Sign-On (Indeed AM ESSO). Indeed AM ESSO позволяет интегрироваться с целевым приложением без необходимости программного вмешательства в работу приложений. Для этого используется перехват экранных форм входа, разблокировки и смены пароля в приложении, перехват осуществляется с помощью Indeed AM ESSO агента, устанавливаемого на рабочие станции пользователей. В момент, когда появляется форма входа в целевое приложение, экран блокируется и от пользователя требуется пройти процедуру аутентификации: приложить палец к сканеру отпечатков и др.; после чего агент Indeed AM ESSO автоматически заполняет форму входа и пользователь получает доступ в приложение.

Ниже приведена общая схема решения.

Схема работы биометрической аутентификации

В состав Indeed Access Manager входят следующие основные компоненты

Indeed Enterprise Server (Сервер) - серверный компонент инфраструктуры Indeed Access Manager. Сервер обеспечивает централизованное хранение и защиту данных пользователей, осуществляет процедуру аутентификации пользователя, прием и обработку запросов со стороны клиентских компонентов и со стороны инструментов администратора. Наличие сервера гарантирует пользователю доступность данных с любого ПК. Сервер дает возможность администратору настраивать параметры доступа сотрудника (или группы сотрудников), вносить глобальные изменения в систему.

Indeed AM Windows Logon - клиентское ПО, устанавливаемое на рабочие места сотрудников. Windows Logon обеспечивает возможность доступа в Windows с помощью технологий строгой аутентификации пользователей.

Indeed AM ESSO агент - клиентское ПО, устанавливаемое на рабочие места сотрудников. ESSO агент выполняет перехват экранных форм приложений и обеспечивает возможность доступа в них с помощью технологий строгой аутентификации пользователей.

База данных Indeed Access Manager. В базе хранятся настройки системы и эталонные биометрические шаблоны, используемые сервером для аутентификации пользователей.

Журнал Indeed AM. Все события, возникающие в системе сохраняются в журнале Indeed AM. Журнал фиксирует дату, время, имя пользователя, имя учетной записи Active Directory, имя учетной записи целевой системы, факт использования учетный данных, факт входа в целевые системы и т.п. В журнале фиксируется каким способом и с применением какой технологии аутентификации сотрудник получал доступ в систему.

Технологии аутентификации

На данный момент Indeed AM поддерживает следующие биометрические технологии:

Аутентификация по отпечаткам пальцев

Биометрическая система защиты по отпечаткам пальцев является наиболее распространенной технологией биометрической аутентификации. Удобна для использования на офисных ПК, подходит для большого количества аутентификаций в течение рабочего дня.

Аутентификация по 3D изображению лица на базе технологии Intel RealSense

Для аутентификации по форме лица применяется технология Intel RealSense™, позволяющая с высокой точностью получить изображение лица, в том числе в инфракрасном диапазоне, что обеспечивает высокую точность аутентификации. Технология является бесконтактной, что позволяет использовать ее на устройствах общего доступа.

Аутентификация по рисунку вен ладони в реализации сканера Fujitsu PalmSecure v2

Бесконтактная технология биометрической аутентификации. Хорошо адаптирована для офисного режима работы, также может эффективно использоваться в устройствах общего доступа. Технология гигиенична и, в отличие от отпечатков пальцев, не предъявляет требований к состоянию поверхности кожи (загрязнение, порезы и т.п.)

Узнайте больше
Задайте вопрос в чате на нашем сайте
  • Какие задачи решает продукт?
  • Какие требования к инфраструктуре?
  • Как провести пилот?
  • Сколько стоит внедрение?
Клиенты о наших решениях
Владимир Солонин
В модуле SSO (Single Singh on) есть возможность придумать пароль за пользователя в момент его смены, а сложность этого пароля задается отдельной политикой, позволяющей сделать пароль как минимум длинным. Таким образом, решалась основная задача – пароли должны стать уникальными и сложными.
Владимир Солонин
директор по информационной безопасности, «СДМ-Банк»
Анатолий Скородумов
Мы отказались от парольного доступа к информационным системам (ИС) банка и внедрили строгую аутентификацию на основе биометрических сканеров. Основная ценность для бизнеса при внедрении такого класса системы — снижение потерь рабочего времени и повышение комфорта при работе с ИС.
Анатолий Скородумов
Начальник отдела информационной безопасности ОАО «Банк «Санкт-Петербург»
Иван Чернокнижников
«Проблемы с паролями в большой степени определяются человеческим фактором, поэтому простые организационные меры в данном случае малоэффективны. Для обеспечения безопасности данных необходимо использовать более защищенные методы аутентификации
Иван Чернокнижников
Руководитель отдела информационных технологий компании ООО «Газпром сера»
Алексей Иванов
Сотрудники теперь не записывают свои пароли где-нибудь, так как просто их не знают. Пароли генерируются с учетом сложности самой системой. Пользователь лишь идентифицирует себя по отпечатку пальца при необходимости ввода пароля в систему.
Алексей Иванов
Начальник Управления защиты информации Службы информационной безопасности АКБ "Абсолют Банк" (ПАО)
Александр Синицын
Количество систем и приложений выросло настолько, что стало практически невозможно дать ответ на простой вопрос: «Кто, к чему и на каких основаниях имеет доступ?». С помощью централизованных инструментов у администратора появилась возможность управлять правилами и политиками предоставления доступа.
Александр Синицын
начальник службы информационной безопасности ОАО «Крайинвестбанк»
Юрий Юрченко
Для "ОКБМ Африкантов", имеющего только в одной сети свыше 3000 рабочих станций, возможность централизованного управления доступом и аутентификацией крайне важна, ведь это позволяет не только в разы сэкономить время ИТ-персонала, но и в первую очередь сократить время ожидания для бизнес-пользователей.
Юрий Юрченко
руководитель IT-отдела ОАО «ОКБМ Африкантов»