Google 希望在其即將推出的 Android P 中改進生物識別技術。該公司宣佈開發人員可以開始使用 BiometricPrompt API 將生物識別身份驗證集成到他們的應用程序中。據 Google 稱,生物識別技術是保持用戶安全的重要組成部分。 應用程序和設備通常利用知識因素(Knowledge factors),擁有因素(possession factors)和生物識別因素(biometrics factors)進行認證機制。
知識因素通常包括 PIN 和密碼,擁有因素包括令牌生成器或安全密鑰,而生物識別因素包括指紋,虹膜或用戶的臉部。
Google 的安全工程師 Vishwath Mohan 在一篇博文中寫道:
生物識別認證機制正變得越來越流行,而且很容易明白其中的原因。它們比輸入密碼更快,比攜帶單獨的安全密鑰更容易,並且它們可以防止基於知識因素的身份驗證的風險。
藉助 Android P,Google 希望為測量生物識別安全性提供更好的模型,限制較弱的身份驗證方法,併為人員提供一個通用平臺和入口點,以便輕鬆集成該功能。
生物統計學通常使用兩個指標:假接受率(FAR)和錯誤拒絕率(FRR)。 儘管這兩個指標都提供了機器學習的準確性和精確性,但 Google 表示,他們不會考慮主動攻擊者或提供有關抵禦攻擊的彈性的信息。FAR 側重安全問題,它衡量了一個非法用戶被偶然識別為設備所有者的頻率,FRR 側重可用性問題,它衡量合法設備所有者必須重新嘗試其認證的頻率。
在 Android 8.1中,該公司引入了欺騙接受率(SAR)和冒充接受率(IAR)來衡量攻擊繞過生物特徵認證服務的容易程度。“欺騙”是指使用已知良好的錄音(例如重放錄音或使用人臉或指紋圖片),而“冒充”意味著成功模仿其他用戶的生物特徵(例如試圖聽起來或看起來像目標用戶)。
閱讀更多 互聯網大事記 的文章
