当您将所有鸡蛋放在一个篮子中时,您往往希望确保它们在那里是安全的。这有点像我们每天使用智能手机所做的事情。我们的联系人、我们的交流和其他通信、我们的文件,一切都可以在我们随身携带的这些设备中找到,但随时都有忘记、丢失或被盗的风险。
因此,确保智能手机内容访问的安全至关重要。目前,保护计算机设备的方法分为三类:
- 需要知识的内容(PIN 码或密码)
- 使用我们拥有的元素(物理安全密钥或令牌生成器)的那些
- 最后,是那些对我们有吸引力的生物识别技术。
假阳性和假阴性
最后一类由于更安全、更易于使用而越来越受欢迎,Google 决定通过 Android O (8.1) 和 P(其移动操作系统的未来版本)来强化这一类。 Mountain View公司的工程师因此开发了反欺骗功能,以确保生物特征认证机制更加安全。
到目前为止,Google 对 Android 生物识别身份验证系统使用了两个继承自机器学习的指标:FAR 和 FRR、误报和漏报。即,当您的智能手机在未经授权的人试图使用它或拒绝向您提供访问权限(即使您是其合法所有者)时解锁时。
这家美国公司表示,就这些标准而言,没有一种生物识别工具足够精确,无法可靠地区分用户输入的生物识别数据和可能的攻击者提供的生物识别数据。因此,某些系统被编程为更加宽容并更容易接受误报。
两项新标准
因此,谷歌宣布在Android 8.1中引入了两项新标准来加强生物识别安全:SAR和IAR,分别针对欺骗接受率等冒名顶替者接受率。它们可以被翻译为篡夺接受率和欺骗接受率。他们的目标是衡量攻击者绕过生物识别工具的容易程度。例如,第一个用于将您的脸部或指纹与您或手指的精美照片区分开来;而第二个则做同样的工作,试图模仿你,无论是外表还是声音。
因此,SAR 和 IAR 可以定义生物识别安全方法的强弱。低于 7% SAR 和 IAR,流程被认为是强大的,高于此分数则不被视为适当的标准。
日常应用
然后,谷歌解释了这个新控件如何在日常工作中发挥作用。因此,无论这些进程的安全性被判断高于还是低于这个 7% 阈值(将来可能会进行审查),都将能够解锁您的智能手机或服务。然而,如果生物识别系统不够安全或被判断有可能受到损害的风险,Android 将根据具体情况提出更高的要求:
- 如果设备闲置四个小时(例如在充电时),Android 将要求用户输入 PIN、密码或使用强大的生物识别解决方案。
- 如果设备 72 小时未使用,这些要求将适用于弱生物识别方法和强生物识别方法。
- 最后,为了提高安全性,使用被认为较弱的生物识别解决方案进行身份验证的用户将无法通过智能手机进行支付或进行涉及访问 KeyStore 的交易,KeyStore 是 Android 在设备上存储加密密钥的保险箱。
显然,如果不鼓励 Android 生态系统中的开发人员提高应用程序的安全性,这些增强的安全措施就没有意义。因此,谷歌为他们提供了专用的API,这将使他们能够集成更强大的身份验证机制,这将完全阻止弱身份验证。
借助这些新工具,谷歌显然打算加强运行 Android O (8.1) 和 P(即将推出)的设备的安全性,这会让智能手机窃贼以及想要在没有授权的情况下访问设备的执法人员的任务变得更加复杂。其用户的同意。
来源 :
谷歌安全博客
