Windows Hello 是生物识别身份验证功能，可帮助加强身份验证，并通过指纹匹配和面部识别帮助防御潜在欺骗。

注意

Windows 10 在首次交付时即包含 Microsoft Passport 和 Windows Hello，二者结合使用可提供多重身份验证。 为了简化部署并提高可支持性，Microsoft 将这些技术组合成单个解决方案，并将其命名为 Windows Hello。 已部署这些技术的客户将不会遇到任何功能更改。 尚未评估 Windows Hello 的客户将会发现，由于简化了策略、文档和语义，部署操作将更简单。

由于我们意识到你的员工想要在你的企业中使用这种新技术，因此我们一直积极与设备制造商合作，创建严格的设计和性能建议，以帮助确保你可以更自信地将Windows Hello生物识别引入你的组织。

Windows Hello允许员工使用指纹、面部识别或虹膜识别作为解锁设备的替代方法。 借助 Windows Hello，如果员工在访问特定于设备的 Windows Hello 凭据时提供他或她独有的生物识别标识符，将进行身份验证。

Windows Hello 验证器用于对员工进行身份验证，并允许他们访问企业网络。 身份验证不会在设备之间漫游，不会与服务器共享，并且无法轻松从设备中提取。 如果多个员工共享一台设备，每个员工都将在设备上使用自己的生物识别数据。

Windows Hello 提供许多优势，包括：

用于支持 Windows Hello 的生物识别数据仅存储在本地设备上。 它不会漫游，也不会发送到外部设备或服务器。 这种分离有助于阻止潜在的攻击者，因为它未提供攻击者可能损害的单个集合点，从而使其无法盗取生物识别数据。 此外，即使攻击者实际上能够从设备获取生物识别数据，也无法将其转换为生物识别传感器可以识别的原始生物识别样本。

注意

设备上的每个传感器都有其自己的生物识别数据库文件，用于存储模板数据。 每个数据库都有一个随机生成的唯一密钥，该密钥已加密到系统。 传感器的模板数据将使用具有 CBC 链接模式的 AES 使用此每个数据库密钥进行加密。 哈希为 SHA256。 某些指纹传感器能够在指纹传感器模块（而不是 OS 中）上完成匹配。 这些传感器会将生物识别数据存储在指纹模块上，而不是存储在数据库文件中。

我们一直与设备制造商合作，根据以下要求，帮助确保每个传感器和设备都满足高级别的性能和保护：

错误接受率 (FAR)。 表示生物识别解决方案验证未授权用户的实例。 这通常用实例数在给定人口规模中的比率来表示，比如 1 比 100 000。 这也可以表示为发生百分比，例如：0.001%。 在生物识别算法的安全性方面，这种度量在很大程度上被认为是最重要的。

错误拒绝率 (FAR)。 表示生物识别解决方案无法正确验证授权用户的实例。 通常用百分比表示，正确接受率和错误拒绝率的总和为 1。 可以使用或不使用反欺骗或活动检测。

若要允许指纹匹配，设备必须具有指纹传感器和软件。 指纹传感器或使用员工唯一指纹作为替代登录选项的传感器，可以是 (大面积或小面积) 或轻扫传感器的触摸传感器。 每种类型的传感器都具有自己的一组必须由制造商实现的详细要求，但是所有传感器都必须包括反欺骗措施（必需）。

从较小到较大尺寸的触摸传感器的可接受性能范围

错误接受率 (FAR)：< 0.001 – 0.002%

使用反欺骗或活动检测的有效实际 FRR：