當您將所有雞蛋放在一個籃子中時,您往往希望確保它們在那裡是安全的。這有點像我們每天使用智慧型手機所做的事情。我們的聯絡人、我們的交流和其他通訊、我們的文件,一切都可以在我們隨身攜帶的這些設備中找到,但隨時都有忘記、遺失或被盜的風險。
因此,確保智慧型手機內容存取的安全至關重要。目前,保護電腦設備的方法分為三類:
- 需要知識的內容(PIN 碼或密碼)
- 使用我們擁有的元素(實體安全金鑰或令牌產生器)的那些
- 最後,是那些對我們有吸引力的生物辨識技術。
假陽性和假陰性
最後一類由於更安全、更易於使用而越來越受歡迎,Google 決定透過 Android O (8.1) 和 P(其行動作業系統的未來版本)來強化這一類。 Mountain View公司的工程師因此開發了反欺騙功能,以確保生物特徵認證機制更加安全。
到目前為止,Google 對 Android 生物辨識驗證系統使用了兩個繼承自機器學習的指標:FAR 和 FRR、誤報和漏報。即,當您的智慧型手機在未經授權的人試圖使用它或拒絕向您提供存取權限(即使您是其合法所有者)時解鎖時。
這家美國公司表示,就這些標準而言,沒有一種生物辨識工具足夠精確,無法可靠地區分用戶輸入的生物辨識數據和可能的攻擊者提供的生物辨識數據。因此,某些系統被編程為更寬容並更容易接受誤報。
兩項新標準
因此,Google宣佈在Android 8.1中引入了兩項新標準來加強生物辨識安全:SAR和IAR,分別針對欺騙接受率等冒名頂替者接受率。它們可以被翻譯為篡奪接受率和欺騙接受率。他們的目標是衡量攻擊者繞過生物辨識工具的容易程度。例如,第一個用於將您的臉部或指紋與您或手指的精美照片區分開來;而第二個則做同樣的工作,試圖模仿你,無論是外表還是聲音。
因此,SAR 和 IAR 可以定義生物辨識安全方法的強度。低於 7% SAR 和 IAR,流程被認為是強大的,高於此分數則不被視為適當的標準。
日常應用
然後,谷歌解釋了這個新控制如何在日常工作中發揮作用。因此,無論這些進程的安全性被判斷高於或低於這個 7% 閾值(將來可能會進行審查),都將能夠解鎖您的智慧型手機或服務。然而,如果生物辨識系統不夠安全或被判斷有可能受到損害的風險,Android 將根據具體情況提出更高的要求:
- 如果裝置閒置四個小時(例如在充電時),Android 將要求使用者輸入 PIN、密碼或使用強大的生物辨識解決方案。
- 如果設備 72 小時未使用,這些要求將適用於弱生物辨識方法和強生物辨識方法。
- 最後,為了提高安全性,使用被認為較弱的生物識別解決方案進行身份驗證的用戶將無法透過智慧型手機進行付款或進行涉及存取 KeyStore 的交易,KeyStore 是 Android 在裝置上儲存加密金鑰的保險箱。
顯然,如果不鼓勵 Android 生態系統中的開發人員提高應用程式的安全性,這些增強的安全措施就沒有意義。因此,Google為他們提供了專用的API,這將使他們能夠整合更強大的身份驗證機制,這將完全阻止弱身份驗證。
借助這些新工具,Google顯然打算加強運行Android O (8.1) 和P(即將推出)的設備的安全性,這會讓智慧型手機竊賊以及想要在沒有授權的情況下訪問設備的執法人員的任務變得更加複雜。
來源 :
谷歌安全博客
