日本埃勒科姆公司(ELECOM)于2024年6月上旬正式发售两款支持Windows Hello ESS与Passkey标准的USB指纹读取器:便携式USB-A接口“钥匙扣型”读取器CR-FI01UBK(黑色),以及带磁吸底座的独立式读取器CR-FI50UBK(黑色)。两款产品均采用芯片内匹配(Match-on-Chip,MoC)认证架构,不向主机传输原始指纹图像或模板数据,从底层规避了传统主机匹配(MoH)方式下因驱动层漏洞或恶意软件导致的生物特征泄露风险,直接满足微软Secured-Core PC对Windows Hello ESS的强制性技术要求。
CR-FI01UBK为超小型USB-A插拔式设计,尺寸仅约16×19×11mm,重量约2克,无外露线缆或可动部件,插入PC后可长期保持连接状态而不影响桌面整洁度;CR-FI50UBK则为分离式结构,配备内置钕磁铁底座,可牢固吸附于钢制办公桌、机箱侧板或金属支架表面,另附含固定胶贴与3M VHB双面胶的安装套件,USB-A线缆长度约1米,便于灵活布设于台式机、瘦客户机或工业控制终端前侧。两者均通过微软Windows认证,出厂预置驱动,即插即用,无需额外安装厂商软件。
核心认证能力方面,两款设备均搭载符合ISO/IEC 19794-2:2018标准的光学指纹传感器,支持360°任意角度手指放置识别,实测误接受率(FAR)低于0.001%,即每10万次尝试中最多误认1次非授权用户;拒真率(FRR)为1.7%,在严苛环境(如指尖轻微脱皮、低温干燥)下仍保持较高可用性。单设备最多支持10枚指纹注册,适用于多用户共享PC(如呼叫中心坐席、工厂操作站、医院公共工作站)场景。其Passkey支持基于FIDO2协议的无密码登录,可与Microsoft Account、Google Account及主流SaaS平台(如Salesforce、Zoom、Slack)无缝对接,替代传统用户名+密码组合,降低钓鱼攻击与凭证复用风险。
MoC方式是当前Windows生态中实现高保障生物认证的关键技术路径。微软自Windows 11 22H2起将Windows Hello ESS列为Secured-Core PC的必备组件,而ESS明确要求所有生物识别模块必须采用MoC架构——即指纹比对运算全程在读取器专用安全芯片内完成,指纹模板加密存储于本地芯片OTP区域,离开设备。相较MoH方案(需将特征向量上传至Windows系统内存进行比对),MoC显著压缩攻击面,尤其规避了驱动层提权漏洞(如CVE-2023-24932)、DMA攻击及内存转储风险。该技术已成为Copilot+ PC硬件认证的刚性门槛,也是国内信创PC厂商适配Windows生态时需重点验证的模块级能力。
企业采购需核对三项硬指标
中国渠道商与集成商在选型时应重点关注以下三点:一是确认设备是否通过微软Windows Hardware Compatibility Program(WHCP)认证并列于Windows Catalog官网,避免使用未签名驱动导致蓝屏或策略组策略失效;二是核查USB接口版本是否为USB 2.0全速(而非低速),确保兼容老旧工控机与嵌入式主板;三是检查固件是否支持远程OTA升级,因MoC芯片需定期更新抗活体攻击算法(如对抗硅胶指模、3D打印假指纹),埃勒科姆提供配套管理工具,但需确认是否开放API供ISV集成。
日本市场对生物认证设备的监管逻辑与中国存在差异:日本总务省《个人信息保护法》实施细则未强制要求生物特征数据本地化存储,但金融厅(FSA)指导方针明确要求银行终端等高敏场景必须采用MoC架构;埃勒科姆此次产品定位正是响应日本金融、医疗及地方政府机构对“零信任终端接入”的落地需求。对中国出口型企业而言,该系列已通过CE-EMC、RoHS及FCC认证,但尚未取得中国CCC或等保2.0三级生物识别模块专项检测报告,若用于政务、金融类国产化项目,需预留6–8周时间完成本地化适配与检测。
- 核对Windows设备管理器中是否显示“Windows Biometric Service”正常启用,且设备ID含“ELECOM”与“MoC”标识
- 测试多用户环境下指纹注册是否隔离——同一设备不同账户注册的指纹模板不得互相调用
- 验证Passkey登录时是否触发Windows弹窗二次确认(非静默认证),确保符合等保2.0身份鉴别条款