Authentification biométrique
des employés de l'entreprise

Protection biométrique des emplois en entreprise

access manager

Les technologies d'authentification biométrique résolvent les problèmes de mots de passe, dont l'utilisation est associée aux risques en matière de sécurité de l'information et au travail inefficace des employés

Sélection de mots de passe

Les utilisateurs n'utilisent pas de mots de passe complexes ou longs, parce qu'ils sont difficiles à inventer et à mémoriser. Cela permet à l'attaquant de sélectionner rapidement (à partir d'une minute) les mots de passe des comptes des employés. Les employés utilisent souvent un mot de passe pour toutes les applications et tous les services, ce qui aggrave le problème. En prenant un mot de passe pour l'un des systèmes, l'attaquant obtient l'accès à toutes les ressources disponibles pour l'employé.

Divulgation et transfert de mots de passe

Les employés ordinaires n'attachent pas d'importance à la confidentialité de leur mots de passe et les écrivent souvent sur leur lieu de travail. De plus, ils découvrent souvent leur mot de passe à leurs collègues en leur demandant de faire quelque chose en leur absence (envoyer un rapport, voir le courrier, etc.). Cette situation permet à un attaquant d'obtenir plus facilement les mots de passe de quelqu'un d'autre et n'exige pas qu'il utilise des solutions techniques complexes.

Utilisation de mots de passe par les employés licenciés

Si, après le licenciement d'un employé, le service informatique n'avait pas le temps ou avait oublié de bloquer son compte, l'employé peut accéder à des informations confidentielles et les transférer à des concurrents.

Mots de passe oubliés

Même si l'employé effectue consciencieusement les règles de sécurité des informations relatives à l'utilisation de mots de passe, il peut imposer des contraintes supplémentaires au service informatique. Les mots de passe compliqués sont difficiles à retenir et sont plus souvent oubliés, ce qui conduit à des comptes bloqués et à la nécessité de réinitialiser les mots de passe.

Les avantages de les technologies biométriques

Les technologies biométriques éliminent les mots de passe de la vie de travail des employés et présentent les avantages suivants.

Sécurité supérieure

L'authentification biométrique permet d'effectuer une procédure de vérification de l'utilisateur avec une grande précision (avec une probabilité d'erreur jusqu'à 0,00001%, en fonction de la technologie). Cela permet d'utiliser la biométrie dans tous les scénarios d'entreprise nécessitant l'authentification fiable d'utilisateur.

Inalienability of authentication data

Contrairement aux mots de passe ou aux cartes à puce, qui peuvent être oubliés, perdus ou transférés à un tiers, les données d'authentification biométrique sont toujours avec l'utilisateur.

Facilité d'utilisation

L'authentification biométrique ne nécessite pas que l'utilisateur se souvienne de mots de passe complexes ou ne stocke aucun périphérique (jeton, carte, etc.). L'employé ne pourra pas oublier ou perdre les données d'authentification.

Tâches

The task of protecting a corporate PC using biometric authentication can be enunciated as follows:

  1. Il est nécessaire de fournir l'authentification biométrique des utilisateurs lors de l'accès
      • au système d'exploitation Windows (Ordinateur du domaine)
      • aux applications cibles
  2. La solution doit prendre en charge diverses technologies d’authentification biométrique
      • empreinte digitale
      • imagerie veineuse de palme
      • Image 3D du visage

Solution

Pour résoudre ce problème, le progiciel Indeed Access Manager (Indeed AM) est utilisé. Le complexe permet d'implémenter les scénarios d'authentification nécessaires dans le système d'exploitation Windows et les applications.

L'accès au système d'exploitation Windows en utilisant les coordonnées d'accès du domaine ActiveDirectory est fourni par le composant Indeed AM Windows Logon. Ce composant implémente Credential Provider, une interface permettant d’accéder au système d’exploitation. L'interface standard de connexion du système d'exploitation est remplacée par l'interface Indeed AM Windows Logon, qui offre la possibilité d'utiliser différentes technologies d'authentification, notamment au moyen de la biométrie. L'intégration avec Windows s'effectue via le protocoles standard, ce qui permet la compatibilité avec le sous-système d'authentification Windows et l'utilisation de Indeed AM Windows Logon dans divers scénarios d'accès: entrée local d'ordinateur, bureau à distance (RDP), authentification au sein du système d'exploitation. Le système est centralisé en permettant les différents employés de connecter à l'ordinateur au moyen d'un scanner (en utilisant leurs comptes de domaine). Un employé peut également se connecter à n'importe quel l'ordinateur du domaine.

Indeed Access Manager ne remplace pas le système d'authentification standard Active Directory, mais automatise la gestion des mots de passe des utilisateurs. Dans cette configuration, l'authentification par mot de passe devient un mécanisme interne utilisé uniquement au niveau logiciel. Au moment de l'enregistrement de l'utilisateur dans Indeed Access Manager du premier authentifiant (modèle biométrique, etc.), son mot de passe est automatiquement remplacé par une valeur aléatoire qui n'est signalée ni à l'utilisateur ni à l'administrateur système. Ainsi, l'accès au domaine devient possible uniquement à l'aide de la technologie Indeed AM. À l'avenir, le mot de passe de l'utilisateur est modifié automatiquement à la demande du système d'exploitation ou selon un calendrier prédéterminé.

Pour les applications avec lesquelles les employés travaillent sur leurs ordinateurs (selon le schéma de client léger/client lourd), l'authentification biométrique est mise en œuvre au moyen du composant Indeed AM Enterprise Single Sign-On (Indeed AM ESSO). Indeed AM ESSO permet de s'intégrer à l’application cible sans nécessité d'intervention logicielle dans l'application. Pour ce faire, l'interception des formes de l'écran de connexion, de déverrouillage et de changement de mot de passe sont utilisées dans l'application. L'interception est effectuée par l'agent Indeed AM ESSO installé sur les postes de travail des utilisateurs. Au moment où la forme de connexion à l'application cible apparaît, l'écran se bloque et l'utilisateur doit suivre la procédure d'authentification: mettre un doigt sur le lecteur d'empreintes digitales, etc. Après cela, l'agent Indeed AM ESSO remplit automatiquement la forme de connexion et l'utilisateur accède à l'application.

La schéma générale de solution est ci-dessous

Biometric Authentication Operation Scheme

Indeed Access Manager comprend les principaux composants suivants:

Indeed AM Server (Serveur) est un composant de serveur d'infrastructure de Indeed Access Manager. Le serveur assure le stockage centralisé et la protection des données des utilisateurs, effectue l'authentification des utilisateurs, accepte et traite les demandes des composants clients et des outils d'administrateur. Le serveur assure à l'utilisateur la disponibilité des données depuis n'importe quel l'ordinateur. Le serveur permet à l'administrateur de configurer les paramètres d'accès de l'employé (ou du groupe d'employés), d'apporter des modifications globales au système.

Indeed AM Windows Logon est un logiciel client installé sur les lieus de travail des employés. Windows Logon permet d'accéder à Windows au moyen de la technologies d'authentification forte des utilisateurs.

Agent Indeed AM ESSO est un logiciel client installé sur les lieus de travail des employés. L'agent ESSO intercepte les formes d'écran des applications et offre la possibilité d'y accéder au moyen de la technologie de l'authentification forte des utilisateurs.

Base de données Indeed Access Manager. La base de données stocke les paramètres système et les modèles biométriques de référence utilisés par le serveur pour authentifier les utilisateurs.

Journal Indeed AM. Tous les événements survenant dans le système sont enregistrés dans le journal Indeed AM. Le journal enregistre la date, l'heure, le nom d'utilisateur, le nom du compte Active Directory, le nom du compte du système cible, le fait d'utiliser les coordonnées d'accès, le fait de se connecter aux systèmes cible, etc. Le journal enregistre aussie le moyens et la technologie d'authentification utilisée par l'employé pour accéder au système.

Technologies d'authentification

Pour le moment, Indeed AM prend en charge les technologies biométriques suivantes:

Authentification par empreinte digitale

L’empreinte digitale est la technologie d’authentification biométrique la plus répandue. Convient à utiliser sur les ordinateurs de bureau et pour un grand nombre d'authentifications pendant la journée de travail

Authentification par l'image 3D du visage basée sur la technologie Intel Real Sense

Pour l'authentification de forme du visage, la technologie IntelRealSense™ est utilisée. Cette technologie permet d'obtenir une image très précise du visage, y compris dans le plage infrarouge garantissant une grande précision de l'authentification. La technologie est sans contact et peut être utilisée sur des appareils partagés

Authentification par l'imagerie veineuse de palme est mise en œuvre par le scanner Fujitsu Palm Secure v2

Technologie d'authentification biométrique sans contact. Bien adapté au travail au bureau et aussi efficace dans les dispositifs d'accès public. La technologie est hygiénique et, contrairement aux empreintes digitales, elle n'impose pas d'exigences sur l'état de la surface de la peau (pollution, coupures, etc.).

EN SAVOIR PLUS
case for your industry

Learn how the implementation of new technologies will help to solve the problems of information security in different industries.

Indeed for industry
INDUSTRIE AUTOUR DE NOUS
KuppingerCole Leadership
Dans le rapport du 21 mars 2016 de KuppingerCole, Indeed Identity a été mentionné en tant que « fournisseur spécialisé » du segment du marché de la gestion d’accès qui fournit les solutions d’authentification des utilisateurs, de cryptage des messages et de sécurisation des informations sur les téléphones mobiles.
KuppingerCole
le premier analyste européen sur les thèmes de la sécurité de l’information
X Infotech
"Indeed Identity est un partenaire important de la Softline depuis très longtemps. Ensemble, nous avons réalisé plusieurs projets réussis dans de nombreux domaines économiques. Les entreprises internationales choisissent Indeed ID en raison de ses logiciels fiables, de ses prix compétitifs et de ses services remarquables."
Sergey Yeliseyev
Groupe Softline, responsable de la promotion régionale de la sécurité de l’information
Softline
Indeed Identity est la société de professionnels opérant dans le domaine de la sécurité de l’information. Ils fournissent des solutions haut de gamme pour la gestion de l’infrastructure à clé publique et le contrôle d’accès aux ressources de l’entreprise. Nous vous recommandons cette société en tant que partenaire fiable.
Michael Lisnevsky
Propriétaire de X-Infotech, directeur du développement