Autenticazione del viso di Windows Hello
L'autenticazione viso Microsoft in Windows 10 è un meccanismo di verifica delle identità di livello aziendale integrato in Windows Biometric Framework (WBF) come componente principale di Microsoft Windows denominato Windows Hello. L'autenticazione viso di Windows Hello usa una fotocamera appositamente configurata per l'imaging a infrarossi vicini (IR) per autenticare e sbloccare i dispositivi Windows, nonché sbloccare Microsoft Passport.
Vantaggi e funzionalità principali dell'autenticazione viso di Windows Hello
Questi sono i vantaggi principali dell'uso dell'autenticazione viso di Windows Hello:
- Riconoscimento facciale in tutti i dispositivi e le piattaforme basati su Windows 10 con hardware compatibile (sensore near IR).
- Un'interfaccia intuitiva che fornisce il modulo single sign-of-verification per sbloccare Microsoft Passport.
- Autenticazione di livello aziendale e accesso ai contenuti supportati da Microsoft Passport Pro, tra cui risorse di rete, siti Web e strumenti di pagamento.
- La capacità di fornire un'immagine coerente (usando IR) in diverse condizioni di illuminazione che consente anche cambiamenti sottili nell'aspetto, tra cui capelli facciali, trucco cosmetico e così via.
Scenari
I due scenari principali per l'autenticazione viso di Windows Hello in Windows 10 sono l'autenticazione per accedere o sbloccare e ripetere l'autenticazione per dimostrare di essere ancora presenti.
Autenticazione
| Tipo | Descrizione |
|---|---|
| durata media | < 2 secondi |
| frequenza prevista | Alto |
| Descrizione della frequenza | Si verifica ogni volta che un utente vuole sbloccare il dispositivo o si sposta oltre la schermata di blocco |
Ripetere l'autenticazione
| Tipo | Descrizione |
|---|---|
| durata media | < 2 secondi |
| frequenza prevista | Basso |
| Descrizione della frequenza | Si verifica quando un'applicazione o un sito Web desidera verificare nuovamente che l'utente si trova davanti al dispositivo |
Funzionamento
Il motore di riconoscimento viso di Windows Hello è costituito da quattro passaggi distinti che consentono a Windows di comprendere chi si trova davanti al sensore:
Trovare il viso e scoprire i luoghi di interesse
In questo primo passaggio, l'algoritmo rileva il viso dell'utente nel flusso della fotocamera e quindi individua i punti di riferimento facciale (noti anche come punti di allineamento), che corrispondono a occhi, naso, bocca e così via.
Orientamento della testa
Per assicurarsi che l'algoritmo disponga di una quantità sufficiente di viso per prendere una decisione di autenticazione, garantisce che l'utente sia rivolto verso il dispositivo +/- 15 gradi.
Vettore di rappresentazione
Usando le posizioni dei punti di riferimento come punti di ancoraggio, l'algoritmo accetta migliaia di campioni provenienti da diverse aree del viso per creare una rappresentazione. La rappresentazione nella forma più semplice è un istogramma che rappresenta le differenze di luce e scuro intorno a punti specifici. Nessuna immagine del viso viene mai archiviata: è solo la rappresentazione.
Motore decisionale
Una volta che è presente una rappresentazione dell'utente davanti al sensore, viene confrontata con gli utenti registrati nel dispositivo fisico. La rappresentazione deve superare una soglia basata su machine learning prima che l'algoritmo lo accetti come corrispondenza corretta. Se nel sistema sono registrati più utenti, questa soglia aumenterà di conseguenza per garantire che la sicurezza non venga compromessa.
Registrazione
La registrazione è il passaggio della generazione di una rappresentazione o di un set di rappresentazioni personali (ad esempio, se si dispone di occhiali che potrebbe essere necessario registrarli e senza di essi) e archiviarli nel sistema per un confronto futuro. Questa raccolta di rappresentazioni è denominata profilo di registrazione. Microsoft non archivia mai un'immagine effettiva e i dati di registrazione non vengono mai inviati a siti Web o applicazioni per l'autenticazione.
La maggior parte degli utenti dovrà probabilmente registrarsi una volta per ogni dispositivo. Sono necessarie registrazioni aggiuntive per gli utenti che:
- Occasionalmente indossare determinati tipi di occhiali
- Sono state apportate modifiche importanti alla forma o alla trama del viso
- Spostarsi in ambienti con un ambiente elevato vicino alla luce IR (ad esempio, se si porta il dispositivo all'esterno del sole)
Vantaggi del vicino infrarosso
Dopo il rilascio del riconoscimento dei volti con il primo Kinect su Xbox 360, Microsoft ha appreso che basandosi sulla luce ambientale per fornire un'immagine coerente offre un'esperienza utente scarsa. Le persone vivono e lavorano in una varietà di ambienti, con un assortimento di condizioni di illuminazione. I sistemi di riconoscimento dei colori tradizionali si basano sull'attivazione della luminosità, dell'esposizione o di altre impostazioni per creare un'immagine utilizzabile, che espongono tutti gli artefatti che influisce sull'affidabilità del sistema.
Al contrario, le immagini a infrarossi vicino sono coerenti negli scenari di illuminazione ambientale, come si può vedere di seguito.
| Scenario | Immagine colore da fotocamera integrata | Immagine del runtime di integrazione del sensore di riferimento Microsoft |
|---|---|---|
| Basso rappresentante di guardare la TV o dare una presentazione di PowerPoint |  |
 |
| Illuminazione laterale quando seduto vicino a una finestra o una lampada da scrivania |  |
 |
L'uso del runtime di integrazione consente anche lo spoofing perché consente di evitare gli attacchi più accessibili. Ad esempio, ir non viene visualizzato nelle foto perché si tratta di una lunghezza d'onda diversa, e come si può vedere di seguito, le immagini le immagini non vengono visualizzate in foto o su uno schermo LCD.
Come viene misurata l'accuratezza
Quando Microsoft parla dell'accuratezza dell'autenticazione viso di Windows Hello, vengono usate tre misure principali: Falsi positivi, Veri positivi e Falsi negativi.
| Termine | Falsi positivi | Veri positivi | Falsi negativi |
|---|---|---|---|
| Descrizione | A volte calcolato anche come percentuale di accettazione false, questo rappresenta la probabilità che un utente casuale che ottiene l'accesso fisico al dispositivo verrà riconosciuto come utente. Questo numero deve essere il più basso possibile. | La frequenza dei veri positivi rappresenta la probabilità che un utente venga confrontato correttamente con il profilo registrato ogni volta che vengono posizionati davanti al sensore. Questo numero deve essere elevato. | Rappresenta la probabilità che un utente non corrisponda al profilo registrato. Questo numero deve essere basso. |
| Algoritmo Windows 10 | Minore di 0,001% o 1/100.000 FAR | Maggiore del 95% con un singolo utente registrato | Meno del 5% con un singolo utente registrato |
Tenere conto degli errori nella misurazione è importante, quindi Microsoft li classifica in due modi: errori di distorsione (errori sistematici) ed errori casuali (campionamento).
Errori di distorsione
Gli errori di distorsione possono verificarsi in seguito all'uso di dati rappresentativi degli ambienti e delle condizioni in cui viene usato l'algoritmo. Questo tipo di errore può derivare da condizioni ambientali diverse (ad esempio illuminazione, angolo per sensore, distanza e così via) e hardware che non è rappresentativo se i dispositivi di spedizione.
Errori casuali
Gli errori casuali derivano dall'uso di dati che non corrispondono alla diversità della popolazione che in realtà usa la funzionalità. Ad esempio, concentrandosi su un piccolo set di volti senza occhiali, barba o caratteristiche facciali uniche.
Sicurezza della fotocamera esterna
È consigliabile eseguire Windows Update costantemente e assicurarsi che il sistema venga aggiornato con gli aggiornamenti della sicurezza più recenti, inclusi gli aggiornamenti rilasciati il 13 luglio 2021 per migliorare la sicurezza quando si usa la fotocamera di Windows Hello descritta in CVE-2021-34466. Inoltre, se si desidera impedire completamente l'uso della fotocamera Hello esterna, è possibile aggiungere un valore facoltativo del Registro di sistema nel percorso seguente.
Percorso del Registro di sistema: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\FaceLogon
Valore DWORD: ShouldForbidExternalCameras
Valore: 1