다음을 통해 공유


비즈니스용 Windows Hello

개요

Windows Hello 사용자가 기존 암호 대신 생체 인식 데이터 또는 PIN을 사용하여 Windows 디바이스에 로그인할 수 있는 인증 기술입니다. 피싱 방지 2단계 인증 및 기본 제공 무차별 암호 대입 방지를 통해 향상된 보안을 제공합니다. FIDO/WebAuthn을 사용하면 Windows Hello 지원되는 웹 사이트에 로그인하는 데 사용할 수 있으므로 여러 복잡한 암호를 기억할 필요가 없습니다.

비즈니스용 Windows Hello 디바이스 증명, 인증서 기반 인증 및 조건부 액세스 정책을 포함하여 엔터프라이즈급 보안 및 관리 기능을 제공하는 Windows Hello 확장입니다. 정책 설정을 디바이스에 배포하여 안전하고 조직의 요구 사항을 준수하도록 할 수 있습니다.

다음 표에는 비즈니스용 Windows Hello Windows Hello 간의 기본 인증 및 보안 차이점이 나와 있습니다.

Windows Hello 비즈니스용 Windows Hello
Authentication 사용자는 다음을 인증할 수 있습니다.
- MSA(Microsoft 계정)
- FIDO(Fast ID Online) v2.0 인증을 지원하는 ID 공급자(ID 공급자)
사용자는 다음을 인증할 수 있습니다.
- Microsoft Entra ID 계정
- Active Directory 계정
- FIDO(Fast ID Online) v2.0 인증을 지원하는 IdP(ID 공급자) 또는 RP(신뢰 당사자) 서비스
보안 키 기반 인증을 사용합니다.
서버에서 도난당하거나 사용자로부터 피싱하여 원격으로 사용할 수 있는 대칭 비밀(암호)은 없습니다.
키 기반 또는 인증서 기반 인증을 사용합니다.
서버에서 도난당하거나 사용자로부터 피싱하여 원격으로 사용할 수 있는 대칭 비밀(암호)은 없습니다.

Windows Hello 암호를 입력하는 대신 편리한 로그인을 위해 로컬 계정과 함께 사용할 수도 있습니다. 이 구성은 비대칭(퍼블릭/프라이빗) 키로 뒷받침되지 않으므로 MSA 또는 Microsoft Entra 계정에서 사용할 수 있는 키 기반 또는 인증서 기반 인증과 동일한 수준의 보안을 제공하지 않습니다. 다른 모든 측면에서 로컬 계정으로 Windows Hello 사용하는 것은 MSA 또는 Entra ID와 함께 사용하는 것과 같습니다. 보안 강화를 위해 MSA(Microsoft 계정) 또는 FIDO2 인증을 지원하는 IDP(ID 공급자)와 함께 Windows Hello 사용하는 것이 좋습니다.

참고

FIDO2(Fast Identity Online) 인증은 암호 없는 인증을 위한 개방형 표준입니다. 이를 통해 사용자는 기존 암호 없이 생체 인식 인증 또는 물리적 보안 키를 사용하여 디바이스 및 앱에 로그인할 수 있습니다. Windows Hello 및 비즈니스용 Windows Hello FIDO2 지원은 사용자에게 추가적인 보안 및 편의를 제공하는 동시에 암호 관련 공격의 위험을 줄입니다.

장점

비즈니스용 Windows Hello 다음과 같은 많은 이점을 제공합니다.

  • 자격 증명 도난에 대한 보호를 강화하는 데 도움이 됩니다. 공격자는 디바이스와 생체 인식 또는 PIN을 모두 가지고 있어야 하므로 사용자의 지식 없이는 액세스 권한을 얻기가 훨씬 더 어려워집니다.
  • 암호는 사용되지 않으므로 피싱 및 무차별 암호 대입 공격을 우회합니다. 가장 중요한 것은 자격 증명이 비대칭이며 TPM의 격리된 환경 내에서 생성되기 때문에 서버 위반 및 재생 공격을 방지합니다.
  • 사용자는 항상 함께 제공되는 간단하고 편리한 인증 방법(PIN으로 백업)을 얻을 수 있으므로 잃을 것이 없습니다. PIN을 사용하면 Windows Hello 기본 제공 무차별 암호 대입 방지 기능이 있고 PIN이 디바이스를 벗어나지 않으므로 보안이 손상되지 않습니다.
  • 필요에 따라 조정된 롤아웃의 일부로 또는 특정 사용자에게 생체 인식 디바이스를 추가할 수 있습니다.

다음 비디오에서는 사용자가 지문으로 로그인하는 비즈니스용 Windows Hello 데모를 보여 줍니다.

Windows Hello 및 2단계 인증

비즈니스용 Windows Hello 디바이스별 자격 증명을 생체 인식 또는 PIN 제스처와 결합하는 2단계 인증 방법을 사용합니다. 이 자격 증명은 Microsoft Entra ID 또는 Active Directory와 같은 ID 공급자에 연결되며 organization 앱, 웹 사이트 및 서비스에 액세스하는 데 사용할 수 있습니다.

프로비전하는 동안 사용자의 초기 2단계 인증 후 Windows Hello 사용자의 디바이스에 설정되고 Windows는 사용자에게 생체 인식 및 PIN일 수 있는 제스처를 설정하도록 요청합니다. 사용자가 ID를 확인하는 제스처를 제공합니다. Windows는 Windows Hello를 사용하여 사용자를 인증합니다.

비즈니스용 Windows Hello 관찰된 인증 요소( 있는 것, 알고 있는 것, 사용자의 일부인 것)를 기반으로 하는 2단계 인증으로 간주됩니다. 비즈니스용 Windows Hello는 이 두 가지 요소, 즉 가지고 있는 것(장치의 보안 모듈로 보호되는 사용자의 개인 키)과 알고 있는 것(사용자의 PIN)을 통합합니다. 적절한 하드웨어를 사용할 경우, 생체 인식을 도입하여 사용자 환경을 개선할 수 있습니다. 생체 인식을 사용하면 인증 요소에 대해 알고 있는 요소를 사용자가 알고있는 요소로 되돌릴 수 있다는 보장으로 바꿀 수 있습니다.

생체 인식 로그인

Windows Hello는 얼굴 인식 또는 지문 일치를 기반으로 안정적이고 완전히 통합된 생체 인식 인증을 제공합니다. Windows Hello는 특수 IR(적외선) 카메라와 소프트웨어를 함께 사용하여 정확도를 향상시키고 스푸핑을 방지합니다. 주요 하드웨어 공급업체는 Windows Hello 호환되는 카메라와 지문 판독기가 통합된 디바이스를 배송하고 있습니다.

Windows Hello 지원하는 디바이스에서는 간단한 생체 인식 제스처를 통해 사용자의 자격 증명을 잠금 해제합니다.

  • 얼굴 인식: 이 유형의 생체 인식은 IR 조명에서 볼 수 있는 특수 카메라를 사용하여 사진이나 스캔과 살아있는 사람의 차이를 안정적으로 알 수 있습니다. 몇몇 공급업체는 이 기술을 통합하는 외부 카메라를 제공하며, 많은 노트북 제조업체가 디바이스에 통합합니다.
  • 지문 인식: 이 유형의 생체 인식은 용량형 지문 센서를 사용하여 지문을 스캔합니다. 대부분의 기존 지문 판독기가 외부 또는 노트북 또는 USB 키보드에 통합되어 있든 관계없이 Windows에서 작동합니다.
  • 홍채 인식: 이 유형의 생체 인식은 카메라를 사용하여 홍채 스캔을 수행합니다.

Windows는 이러한 Windows Hello 제스처를 구현하는 데 사용되는 생체 인식 데이터를 로컬 장치에만 안전하게 저장합니다. 생체 인식 데이터는 로밍되지 않으며 외부 디바이스 또는 서버로 전송되지 않습니다. Windows Hello 디바이스에 생체 인식 데이터만 저장하기 때문에 공격자가 생체 인식 데이터를 도용하기 위해 손상할 수 있는 단일 수집 지점은 없습니다.

Windows 버전 및 라이선싱 요구 사항

다음 표에는 비즈니스용 Windows Hello 지원하는 Windows 버전이 나와 있습니다.

Windows Pro Windows Enterprise Windows Pro Education/SE Windows Education

비즈니스용 Windows Hello 라이선스 자격은 다음 라이선스에 의해 부여됩니다.

Windows Pro/Pro Education/SE Windows Enterprise E3 Windows Enterprise E5 Windows Education A3 Windows Education A5

Windows 라이선싱에 대한 자세한 내용은 Windows 라이선싱 개요를 참조하세요.

참고

비즈니스용 Windows Hello Microsoft Entra Domain Services 작동하지 않습니다.

하드웨어 요구 사항

Microsoft는 제조업체와 협력하여 다음 요구 사항에 따라 각 센서 및 디바이스에서 높은 수준의 성능 및 보호를 충족할 수 있도록 지원합니다.

  • FAR(False Accept Rate): 생체 인식 식별 솔루션이 권한이 없는 사람을 확인하는 instance 나타냅니다. 이는 일반적으로 지정된 모집단 크기의 인스턴스 수(예: 100,000개 중 1개)의 비율로 표시됩니다. 0.001% 등의 발생 백분율로 표시할 수도 있습니다. 이 측정은 생체 인식 알고리즘의 보안과 관련하여 가장 중요한 것으로 간주됩니다.
  • FRR(False Reject Rate): 생체 인식 솔루션이 승인된 사람을 올바르게 확인하지 못하는 인스턴스를 나타냅니다. 백분율로 표시되며 True Accept Rate 및 False Reject Rate의 합계는 1입니다. 스푸핑 방지 또는 활동성 검색을 사용하거나 사용하지 않을 수 있습니다.

지문 센서 요구 사항

지문 일치를 허용하려면 디바이스에 지문 센서와 소프트웨어가 있어야 합니다. 지문 센서는 터치 센서(넓은 영역 또는 작은 영역) 또는 살짝 밀기 센서일 수 있습니다. 센서의 각 유형에는 제조업체에서 구현해야 하는 고유한 세부 요구 사항 집합이 있지만 모든 센서에는 스푸핑 방지 조치가 포함되어야 합니다.

작은 터치 센서에서 큰 크기의 터치 센서에 대해 허용되는 성능 범위:

  • FAR(False Accept Rate): <0.001 - 0.002%
  • 스푸핑 방지 또는 위조 감지가 있는 효과적인 실제 FRR: <10%

살짝 밀기 센서에 허용되는 성능 범위:

  • FAR(False 수락 비율): <0.002
  • 스푸핑 방지 또는 위조 감지가 있는 효과적인 실제 FRR: <10%

얼굴 인식 센서

얼굴 인식을 허용하려면 장치에 통합형 특수 IR(적외선) 센서와 소프트웨어가 있어야 합니다. 얼굴 인식 센서는 IR 조명으로 표시되는 특수 카메라를 사용하여 직원의 얼굴 특징을 스캔하는 동안 사진과 살아있는 사람의 차이를 알 수 있습니다. 지문 센서와 마찬가지로 이러한 센서는 스푸핑 방지 기능(필수) 및 구성 방법(옵션)도 포함해야 합니다.

  • FAR(False Accept Rate): <0.001%
  • 스푸핑 방지 또는 위조 감지가 없는 FRR(False 거부 비율): <5%
  • 스푸핑 방지 또는 위조 감지가 있는 효과적인 실제 FRR: <10%

참고

Windows Hello 얼굴 인증은 등록 또는 인증 중에 마스크 착용을 지원하지 않습니다. 작업 환경에서 마스크를 일시적으로 제거할 수 없는 경우 PIN 또는 지문을 사용하는 것이 좋습니다.

홍채 인식 센서 요구 사항

아이리스 인증을 사용하려면 HoloLens 2 디바이스가 필요합니다. 모든 HoloLens 2 버전은 동일한 센서를 갖추고 있습니다. 아이리스는 다른 Windows Hello 기술과 동일한 방식으로 구현되며 1/100K의 생체 인식 보안 FAR을 달성합니다.

Windows Hello 하드웨어 요구 사항에 대한 자세한 내용은 생체 인식 요구 사항 Windows Hello 참조하세요.

다음 단계