Последен ъпдейт на 28 юни 2018 в 11:27 ч.
Биометричните удостоверения като пръстови отпечатъци, IRIS или технологии за разпознаване на лица, улесняват процеса на отключване на устройства и приложения, като същевременно ги правят значително по-сигурни.
Въпреки това, биометричните системи също имат някои недостатъци – в миналото бе доказано, че повечето биометрични скенери са уязвими и могат лесно да бъдат заблудени.
Днес Google обяви модел за подобряване на биометричната сигурност, който ще бъде достъпен от Android P. Той позволява на разработчиците на мобилни приложения да интегрират подобрен механизъм в приложенията си, за да пазят данните за потребителите безопасни.
Понастоящем системата за биометрично удостоверяване на Android използва показателите False Accept Rate (FAR) и False Reject Rate (FRR), в комбинация с техники за машинно обучение, за да измерва точността на входни данни от потребителя.
Google обаче твърди, че никой от показателите не е достатъчно добър, за да определи с точност дали вписаните от потребител биометрични данни не са опити на хакери да придобият неразрешен достъп, използвайки различни методи за заблуждаване на сензорите.
В опит да се реши този проблем, в допълнение към FAR и FRR, Google въвежда два нови показателя – Spoof Accept Rate (SAR) и Imposter Accept Rate (IAR).
„Както показват имената им, тези показатели измерват колко лесно един хакер може да заобиколи схемата за биометрична идентификация“, казва Vishwath Mohan, инженер по сигурността с екипа на Google Android.
„Под SAR се разбира използване на известен добър запис (например, повторение на записана гласова команда или използване на снимка на лице или пръстов отпечатък), докато IAR означава успешно имитиране на биометрични данни на друг потребител (например, опитвайки се да звучите или да изглеждате като целта на атаката). “
Въз основа на биометричния вход на потребителя стойностите на показателите SAR / IAR определят дали е „силна“ (за стойности по-ниски или равни на 7%) или „слаба“ (за стойности, по-високи от 7%), техниката на удостоверяване.
Докато отключвате устройството си или приложението си, ако тези стойности попадат в “слаба” биометрична стойност, Android P ще прилага стриктни правила за автентикация на потребителите, както е посочено по-долу:
- Това ще накара потребителя да въведе отново своя основен ПИН, парола или силен биометричен код, ако устройството е неактивно за поне 4 часа (например когато сте го оставили на бюрото или го зареждате).
- В случай, че сте оставили устройството без наблюдение в продължение на 72 часа, системата ще наложи посочените по-горе правила както за “слаби”, така и за “силни” биометрични данни.
- За допълнителна сигурност потребителите, удостоверени със слаби биометрични данни, няма да могат да извършват плащания или да участват в други транзакции, включващи KeyStore auth-bound key.
Освен това Google ще предложи и нов лесен за използване BiometricPrompt API, който разработчиците могат да използват, за да наложат в своите приложения силен механизъм за удостоверяване и да осигурят максимална сигурност на своите потребители, като напълно блокират слабата биометрична идентификация, открита от двата нови добавени показателя.
Новата функция би попречила на неразрешения достъп до устройства от крадци, шпиони и правоприлагащи органи, както и чрез заключване, за да пресекат известни методи за заобикаляне на биометричните скенери.