Windows Hello para Empresas
Visão geral
Windows Hello é uma tecnologia de autenticação que permite que os utilizadores iniciem sessão nos respetivos dispositivos Windows com dados biométricos ou um PIN, em vez de uma palavra-passe tradicional. Proporciona segurança melhorada através da autenticação de dois fatores resistente ao phish e da proteção de força bruta incorporada. Com FIDO/WebAuthn, Windows Hello também podem ser utilizadas para iniciar sessão em sites suportados, reduzindo a necessidade de memorizar múltiplas palavras-passe complexas.
Windows Hello para Empresas é uma extensão de Windows Hello que fornece capacidades de segurança e gestão de nível empresarial, incluindo atestado de dispositivo, autenticação baseada em certificado e políticas de acesso condicional. As definições de política podem ser implementadas nos dispositivos para garantir que estão seguras e em conformidade com os requisitos organizacionais.
A tabela seguinte lista as diferenças de segurança e autenticação main entre Windows Hello e Windows Hello para empresas:
| Windows Hello | Windows Hello para Empresas | |
|---|---|---|
| Authentication | Os utilizadores podem autenticar-se em: - Uma conta Microsoft (MSA) - Fornecedores de identidade (IdPs) que suportam a autenticação Fast ID Online (FIDO) v2.0 |
Os utilizadores podem autenticar-se em: - Uma conta de Microsoft Entra ID - Uma conta do Active Directory - Serviços de fornecedor de identidade (IdP) ou de entidade confiadora (RP) que suportam a autenticação Fast ID Online (FIDO) v2.0 |
| Segurança | Utiliza a autenticação baseada em chaves . Não existe nenhum segredo simétrico (palavra-passe) que possa ser roubado de um servidor ou eliminado de um utilizador e utilizado remotamente. |
Utiliza autenticação baseada em chave ou baseada em certificados . Não existe nenhum segredo simétrico (palavra-passe) que possa ser roubado de um servidor ou eliminado de um utilizador e utilizado remotamente. |
Windows Hello também podem ser utilizadas com contas locais para inícios de sessão convenientes, em vez de introduzir uma palavra-passe. Esta configuração não é suportada por chave assimétrica (pública/privada), pelo que não oferece o mesmo nível de segurança que a autenticação baseada em chave ou baseada em certificado que está disponível com msA ou contas Microsoft Entra. Em todos os outros aspetos, utilizar Windows Hello com uma conta local é como utilizá-lo com MSA ou Entra ID. Para maior segurança, é recomendado utilizar Windows Hello com uma conta Microsoft (MSA) ou fornecedores de identidade (IdPs) que suportem a autenticação FIDO2.
Observação
A autenticação FIDO2 (Fast Identity Online) é um padrão aberto para autenticação sem palavra-passe. Permite que os utilizadores iniciem sessão nos respetivos dispositivos e aplicações através da autenticação biométrica ou de uma chave de segurança física, sem a necessidade de uma palavra-passe tradicional. O suporte FIDO2 em Windows Hello e Windows Hello para Empresas fornece uma camada adicional de segurança e conveniência para os utilizadores, ao mesmo tempo que reduz o risco de ataques relacionados com palavra-passe.
Benefícios
Windows Hello para Empresas proporciona muitas vantagens, incluindo:
- Ajuda a reforçar as proteções contra o roubo de credenciais. Um atacante tem de ter o dispositivo e o biométrico ou o PIN, o que torna muito mais difícil obter acesso sem o conhecimento do utilizador
- Uma vez que não são utilizadas palavras-passe, contorna ataques de phishing e de força bruta. Mais importante ainda, evita falhas de segurança do servidor e ataques de repetição porque as credenciais são assimétricas e geradas em ambientes isolados de TPMs
- Os utilizadores obtêm um método de autenticação simples e conveniente (com uma cópia de segurança com um PIN) que está sempre com eles, pelo que não há nada a perder. A utilização de um PIN não compromete a segurança, uma vez que Windows Hello tem proteção contra força bruta incorporada e o PIN nunca sai do dispositivo
- Pode adicionar dispositivos biométricos como parte de uma implementação coordenada ou a utilizadores específicos, conforme necessário
O vídeo seguinte mostra uma demonstração de Windows Hello para Empresas em ação, em que um utilizador inicia sessão com uma impressão digital:
Windows Hello e autenticação de dois fatores
Windows Hello para Empresas utiliza um método de autenticação de dois fatores que combina uma credencial específica do dispositivo com um gesto biométrico ou PIN. Esta credencial está associada ao seu fornecedor de identidade, como o Microsoft Entra ID ou o Active Directory, e pode ser utilizada para aceder a aplicações, sites e serviços da organização.
Após uma verificação inicial de dois passos do utilizador durante o aprovisionamento, Windows Hello é configurado no dispositivo do utilizador e o Windows pede ao utilizador para definir um gesto, que pode ser biométrico e um PIN. O usuário fornece o gesto para verificar sua identidade. Em seguida, o Windows usa o Windows Hello para autenticar os usuários.
Windows Hello para Empresas é considerada autenticação de dois fatores com base nos fatores de autenticação observados: algo que tem, algo que sabe e algo que faz parte de si. O Windows Hello para Empresas incorpora dois desses fatores: algo que você tem (chave privada do usuário protegida pelo módulo de segurança do dispositivo) e algo que você conhece (seu PIN). Com o hardware adequado, você pode aprimorar a experiência do usuário com a biometria. Ao utilizar a biometria, pode substituir o fator de autenticação que conhece pelo que faz parte de si , com as garantias de que os utilizadores podem recorrer ao fator que sabe.
Entrada biométrica
O Windows Hello oferece uma autenticação biométrica confiável e totalmente integrada baseada no reconhecimento facial ou na comparação de impressões digitais. O Windows Hello usa uma combinação de software e câmeras com infravermelho (IV) para melhorar a precisão e proteger contra falsificação. Os principais fornecedores de hardware são dispositivos de envio que integraram câmaras compatíveis com Windows Hello e leitores de impressões digitais.
Em dispositivos que suportam Windows Hello, um gesto biométrico fácil desbloqueia as credenciais dos utilizadores:
- Reconhecimento facial: este tipo de reconhecimento biométrico utiliza câmaras especiais que vêem à luz do IR, o que lhes permite distinguir de forma fiável entre uma fotografia ou digitalização e uma pessoa viva. Vários fornecedores oferecem câmaras externas que incorporam esta tecnologia, e muitos fabricantes de portáteis incorporam-na nos seus dispositivos
- Reconhecimento de impressões digitais: este tipo de reconhecimento biométrico utiliza um sensor de impressões digitais capacitiva para digitalizar a sua impressão digital. A maioria dos leitores de impressões digitais existentes trabalha com o Windows, quer sejam externos ou integrados em portáteis ou teclados USB
- Reconhecimento de Íris: este tipo de reconhecimento biométrico utiliza câmaras para efetuar a análise da íris
O Windows armazena dados biométricos que são usados para implementar esses gestos do Windows Hello com segurança somente no dispositivo local. Os dados biométricos não circulam e nunca são enviados para dispositivos ou servidores externos. Uma vez que Windows Hello apenas armazena dados de identificação biométrica no dispositivo, não existe um único ponto de recolha que um atacante possa comprometer para roubar dados biométricos.
Edição do Windows e requisitos de licenciamento
A tabela seguinte lista as edições do Windows que suportam Windows Hello para Empresas:
| Windows Pro | Windows Enterprise | Windows Pro Education/SE | Windows Education |
|---|---|---|---|
| Sim | Sim | Sim | Sim |
Windows Hello para Empresas direitos de licença são concedidos pelas seguintes licenças:
| Windows Pro/Pro Education/SE | Windows Enterprise E3 | Windows Enterprise E5 | Windows Education A3 | Windows Education A5 |
|---|---|---|---|---|
| Sim | Sim | Sim | Sim | Sim |
Para obter mais informações sobre o licenciamento do Windows, consulte Visão geral do licenciamento do Windows.
Observação
Windows Hello para Empresas não funciona com Microsoft Entra Domain Services.
Requisitos de hardware
A Microsoft colabora com fabricantes para ajudar a garantir que um elevado nível de desempenho e proteção é cumprido por cada sensor e dispositivo, com base nos seguintes requisitos:
- Taxa de Aceitação Falsa (FAR): representa a instância em que uma solução de identificação biométrica verifica uma pessoa não autorizada. Normalmente, isto é representado como um rácio de número de instâncias num determinado tamanho de população, por exemplo 1 em 100 000. Isso também pode ser representado como uma porcentagem de ocorrência, por exemplo, 0,001%. Esta medição é considerada a mais importante relativamente à segurança do algoritmo biométrico
- Taxa de Rejeição Falsa (FRR): representa as instâncias em que uma solução de identificação biométrica não verifica corretamente uma pessoa autorizada. Representada como uma percentagem, a soma da Taxa de Aceitação Verdadeira e da Taxa de Rejeição Falsa é 1. Pode ser com ou sem anti-spoofing ou deteção de liveness
Requisitos do sensor de impressão digital
Para permitir a correspondência de impressões digitais, os dispositivos têm de ter sensores de impressão digital e software. Os sensores de impressões digitais podem ser sensores de toque (área grande ou pequena) ou sensores de percorrer. Cada tipo de sensor tem o seu próprio conjunto de requisitos detalhados que têm de ser implementados pelo fabricante, mas todos os sensores têm de incluir medidas anti-spoofing.
Intervalo de desempenho aceitável para sensores táteis de tamanho pequeno a grande:
- Taxa de Aceitação Falsa (FAR): <0,001 - 0,002%
- FRR efetivo, real, com antifalsificação ou detecção de atividade: <10%
Intervalo de desempenho aceitável para sensores de percorrer:
- Taxa de aceitação falsa (FAR): <0,002%
- FRR efetivo, real, com antifalsificação ou detecção de atividade: <10%
Sensores de reconhecimento facial
Para permitir o reconhecimento facial, você deve ter dispositivos com softwares e sensores de infravermelho (IV) especiais integrados. Os sensores de reconhecimento facial usam câmaras especiais que vêem à luz do IR, permitindo-lhes distinguir entre uma fotografia e uma pessoa viva enquanto digitalizam as características faciais de um funcionário. Esses sensores, como os sensores de impressão digital, também devem incluir medidas antifalsificação (obrigatórias) e uma maneira de configurá-las (opcional).
- Taxa de Aceitação Falsa (FAR): <0,001%
- Taxa de rejeição falsa (FRR) sem antifalsificação ou detecção de atividade: <5%
- FRR efetivo, real, com antifalsificação ou detecção de atividade: <10%
Observação
Windows Hello a autenticação facial não suporta o uso de uma máscara durante a inscrição ou autenticação. Se o seu ambiente de trabalho não lhe permitir remover uma máscara temporariamente, considere utilizar PIN ou impressão digital.
Requisitos do sensor de reconhecimento de íris
Para utilizar a autenticação Iris, precisa de um dispositivo HoloLens 2. Todas as HoloLens 2 edições estão equipadas com os mesmos sensores. A Íris é implementada da mesma forma que outras tecnologias de Windows Hello e alcança a segurança biométrica FAR de 1/100K.
Para obter mais informações sobre os requisitos de hardware para Windows Hello, veja Windows Hello requisitos biométricos.