Windows Hello is biometrische technologie om Windows 10-gebruikers te authenticeren bij apparaten, apps, diensten en netwerken met een vingerafdruk, irisscan of gezichtsherkenning. De methode om in te loggen wordt gezien als wachtwoordvervanger en wordt beschouwd als gebruiksvriendelijker en betrouwbaarder als methode om in te loggen dan met wachtwoorden het geval is.

Hogere drempel

Zelfs qua beveiliging wordt het als superieur gezien, omdat wachtwoordbeveiliging zorgt voor ofwel lastige en vergeten of voor simpele, eenvoudig te raden/lraken wachtwoorden, legt analist Patrick Moorhead uit. Daarmee werpen wachtwoorden een drempel op die de beveiliging niet eens verbetert. "Windows Hello lost het probleem van gebruiksgemak versus beveiliging op", aldus Moorhead.

Veel mensen gebruiken hetzelfde wachtwoord voor meerdere sites en applicaties. De technologie achter features als Apple's FaceID en Windows Hello handelen veel zaken af in de back-end, zodat de gebruiker er geen hinder van ondervindt en gebruiken een technologie die lastiger te stelen is dan de meeste wachtwoord-databases en andere implementaties van authenticatie met zulke credentials.

Anti-spoofing

Microsoft-programmadirecteur Anoosh Saboori legt uit dat je geen wachtwoorden meer nodig hebt. "Gebruikers van Windows Hello kunnen een account van Microsoft of een andere account dat Fast Identity Online (FIDO) ondersteunt gebruiken om een herkenningspunt in te stellen." De technologie gebruikt anti-spoofing-technieken om te voorkomen dat mensen het systeem omzeilen met bijvoorbeeld een foto of masker.

Windows 10-gebruikers kunnen Windows Hello configureren in het instellingenmenu, via Start > Instellingen > Accounts > Aanmeldingsopties. Om te beginnen is een gezichtsscan, irisscan of vingerafdruk scan nodig, afhankelijk van de beschikbare hardware, en je kunt in een later stadium de herkenning verbeteren of uitbreiden.

Fast Identity Online

Als het eenmaal is ingesteld (met een pincode als verificatie-backup) is het inloggen sterk versimpeld en hebben gebruikers direct toegang tot accounts, applicaties van Windows zelf en programma's die de API ondersteunen. "Met de ondersteuning van FIDO kunnen we meer innovatie leveren in sterk gereguleerde sectoren", zegt Microsofts Saboori.

Die specificatie is in 2014 ontwikkeld door een samenwerkingsverband van inmiddels meer dan 250 bedrijven met de naam FIDO Alliance. Die is ooit gestart door onder meer PayPal en Lenovo en er zijn vandaag de dag honderden apparaten die FIDO ondersteunen om authenticatie te versimpelen voor gebruikers.

Windows Hello bestaat al een tijdje, maar tijdens Microsofts systeembeheercongres Ignite in september kondigde het bedrijf aan dat 37 miljoen gebruikers inmiddels Windows Hello hebben ingesteld en meer dan 200 bedrijven Windows Hello for Business hebben ingezet. Grote enterprise-uitrol is verantwoordelijk voor meer dan 25.000 zakelijke gebruikers.

Weinig daadwerkelijke inzet

"Vingerafdrukscanners komen al veel voor in IT-omgevingen, maar het probleem is dat ze maar weinig daadwerkelijk worden ingezet", zegt analist Moorhead. Bijna elke grote leverancier ondersteunt Windows Hello, maar de marktpenetratie is dusdanig laag dat het nog niet wachtwoorden massaal kan vervangen onder Windows 10-gebruikers.

Er is wel een redelijke gebruikersbasis, maar dat is helemaal niets vergeleken bij het aantal gebruikers dat inmiddels Windows 10 draait. Als Microsoft een manier vindt om die enorme basis tot Windows Hello te verleiden, dan is dat een belangrijk omslagmoment in de strijd tegen die lompe wachtwoorden van de laatste decennia.

Ook al schort er behoorlijk wat aan het gebruik ervan blijven wachtwoorden het meestgebruikte authenticatiesysteem. Het overstappen van traditionele woorden naar sterkere authenticatievormen is volgens Microsofts Saboori een van de grootste uitdagingen van het online tijdperk. Microsoft kijkt daarom naar stevige Hello-integratie in combinatie met multifactor-authenticatie in apps.

Hier wordt al lang aan gewerkt en inmiddels is er een klein aantal Windows Hello-compatibele apps beschikbaar op de markt. Onder meer Dropbox, Enpass, OneDrive, One Messenger en OneLocker Password Manager ondersteunen de feature momenteel en volgens Microsoft zit er meer aan te komen.

Systeemeisen

Er hoeft niet veel gespecialiseerde hardware aan te pas komen om Windows Hello te gebruiken, maar voor bepaalde features zijn er wel wat systeemeisen. Voor het gebruik van vingerafdrukken heb je uiteraard een vingerafdrukscanner nodig en niet elk apparaat is Windows 10-compatibel. En voor iets als een RealSense-gezichtsscan heb je een webcam nodig die infrarode spectroscopie ondersteunt en RealSense-chipset.

Microsoft werkt ook met fabrikanten om de prestaties consistent te houden voor alle gebruikers en benchmarks, referentiemodellen en andere basisvereisten te ontwikkelen. Voor vingerafdrukken geldt bijvoorbeeld een false accept-ratio van 0,002 procent en voor gezichtsherkenning is dat lager dan 0,001 procent, aldus het bedrijf.

Spoofing voorkomen

Dat komt neer op 1 op de 100.000 vingerafdrukken en nog minder voor gezichtsherkenning. Ter vergelijking: bij Apple is de kans op het foppen van Touch ID 1 op 50.000, maar het omzeilen van Face ID 1 op 1 miljoen. Voor vingerafdrukscanners of camera's zonder anti-spoofingtech of liveness detection moet foutieve afkeur onder de 5 procent liggen.

Liveness detection doet wat je waarschijnlijk vermoedt aan de naam: het detecteert of de gebruiker daadwerkelijk beweegt en actief is, zodat een sensor niet omzeild kan worden met bijvoorbeeld een afbeelding. Alle Windows Hello-sensoren moeten anti-spoofmaatregelen bevatten, maar de configuratie daarvan verschilt per systeem.

Windows Hello heeft geen directe concurrentie vanwege de exclusiviteit op Windows 10-apparaten, maar heeft indirecte concurrent van bedrijven die soortgelijke technologieën en ecosystemen leveren, zoals Samsung en Apple. Face ID van laatstgenoemde is bijvoorbeeld een feature van de iPhone X en rolt naar verwachting dit jaar uit naar andere apparaten, zoals de iPad of goedkopere iPhone die in de herfst moeten verschijnen.

Geen remmende voorsprong

"Windows Hello is er al sinds 2015, maar de technologie krijgt pas meer aandacht sinds Apple iets soortgelijks heeft uitgebracht", zegt analist Raul Castañon-Martinez van 451 Research. Die vertraagde reactie kan wel eens gunstig uitpakken voor Microsoft, meent de analist, omdat mensen de technologie nu herkennen van Apple en iets soortgelijks inmiddels breder wordt ondersteund onder Windows.

"De eerste reactie op Face ID bestaat uit scepsis en een gebrek van vertrouwen bij gebruikers", weet de analist. Dat is niet ongebruikelijk bij nieuwe technologie. Maar met de opkomst van biometrische technologie en meer apparaten die gezichtsherkenning ondersteunen, groeit de adoptie ervan mee, zegt hij.

"Face ID werkt met brillen, Windows Hello niet. Windows Hello werkt in het donker, Face ID nauwelijks", somt analist Moorhead enkele competitieve verschillen op. "Ze werken allebei niet zo sterk met fel omgevingslicht."

Toekomst Windows Hello

Onderzoeker Castañon-Martinez denkt dat ondanks de trage start van Windows Hello dit een belangrijke standaardfeature gaat worden in bedrijven. "Met upgrades naar recentere hardware is het simpelweg een kwestie geworden van of je het gaat gebruiken of niet", zegt hij, een vergelijking trekkend met drie jaar geleden toen er meer legacy-hardware was zonder ondersteuning.

"IT kan zich voorbereiden door de technologie en de beveiligingsstandaarden die worden gebruikt te onderzoeken", adviseert hij. "Het is waarschijnlijk dat wanneer gebruikers er eenmaal aan gewend zijn, ze Windows Hello verkiezen boven andere inlogmechanismen."

Biometrisch en multifactor

Moorhead verwacht dat de omslag vanuit bedrijven moet komen en niet vanuit consumenten. "Bedrijven moeten kappen met klagen over inlogbeveiliging en aan de slag gaan. De technologie is er, het is alleen een kwestie van adoptie. Multifactor biometrische authenticatie is breed beschikbaar en getest en de tijd is rijp om het in te zetten, niet alleen voor apparaattoegang, maar ook voor authenticatie bij apps."