Android Pie hat viele klein klingende, aber sehr bedeutende Änderungen am Android-Kern. Wir sehen, dass bei jeder aktualisierten Version von Android diese Änderungen häufig die Sicherheit betreffen. Google hat ein begründetes Interesse daran, Android so sicher zu halten, dass sich der durchschnittliche Nutzer keine Sorgen machen muss über das Wie oder Warum - das Unternehmen braucht Sie im Internet und nutzt Internetdienste, um zu machen Geld. In Android Pie sehen wir eine große Änderung an der bequemsten Sache, die jemals passiert ist, um Ihr Telefon sicher zu halten: Biometrie.
Biometrie lässt einen Teil von Ihnen beweisen, dass es so ist Ja wirklich Sie.
Biometrie ist die "Kunst", eine für Sie einzigartige Körperfunktion zu verwenden, um sich sicher zu identifizieren. Wir sind am besten mit Fingerabdruckscannern vertraut, aber die Biometrie umfasst die Gesichtserkennung und Iris scannen und sogar Sprachdruck. Alles, was einzigartig ist Sie kann als Ihre Identität mit den richtigen Geräten und Algorithmen verwendet werden. Das Scannen von Fingerabdrücken macht es einfach, den Bildschirm Ihres Telefons zu sperren, und aus Anwendersicht hat es die Leute dazu gebracht, damit zu beginnen. Der nächste Schritt ist die genaue Gesichtserkennung. Wir sehen bereits Unternehmen, die es verwenden und als sicher bezeichnen, und es ist seit Ice Cream Sandwich Teil von Android, obwohl Google Ihnen mitteilt, dass es keine sichere Methode zum Entsperren Ihrer Daten ist.
Verizon bietet das Pixel 4a für nur 10 US-Dollar pro Monat auf neuen Unlimited-Linien an
Das wird sich ändern. Mit Android 9 hat Google ein völlig neues Sicherheitsmodell für die Biometrie hinzugefügt. Aufbauend auf einem in eingeführten Funktionsumfang Android 8.0Google hat eine neue Methode zur Überprüfung der Genauigkeit biometrischer Daten, eine neue Reihe von Funktionen, mit denen die Idee zum Testen der Genauigkeit verwendet werden kann, ein neues Modell, das sich aufteilt biometrische Sicherheit in schwach und stark und schließlich eine öffentliche API, mit der Entwickler diese nutzen können, wenn sie die ordnungsgemäß identifizieren müssen Benutzer.
Was macht Biometrie "stark"?
Google hat sogenannte SAR / IAR-Metriken eingeführt (S.Poof EINAkzeptanz R.aß / ichmposter EINAkzeptanz R.aß), die messen, wie und wie einfach ein Angreifer (das ist das gebräuchliche Wort, das Sicherheitsprofis für "Person, die in Ihr Telefon will" verwendet) eine ordnungsgemäß erstellte biometrische Sicherheitsimplementierung umgehen kann. Stellen Sie sich jemanden vor, der ein gutes Foto Ihres Gesichts verwendet, um das Entsperren von Gesichtern zu täuschen, und das fälscht, während Sie die Art und Weise ändern, wie Sie einen Gesichtsscanner täuschen, wenn Imposter versucht.
Diese SAR / IAR-Werte werden verwendet, um festzustellen, ob es sich um ein biometrisches Sicherheitssystem handelt stark oder schwach. Verwenden Sie eine Punktzahl von 7% (das bedeutet, dass 93% zu 100% der Zeit effektiv sind), da dies die Punktzahl ist, die für eine ordnungsgemäße Implementierung vergeben wird Von einem Fingerabdruckscanner in einem modernen Android-Telefon als Basis haben starke biometrische Daten Zugriff, schwache biometrische Daten nicht.
Beide Methoden können zum Entsperren Ihres Telefons verwendet werden. Als schwach eingestufte biometrische Daten können sich jedoch nicht für Zahlungen authentifizieren oder auf einen authentifizierungsgebundenen Schlüssel zugreifen (a spezieller Authentifizierungsschlüssel, den eine App nur für den eigenen Gebrauch erstellt hat) für jede Art von Geld Transaktionen. Sie müssen auch eine starke biometrische Funktion verwenden oder ein Passwort oder eine PIN manuell eingeben, nachdem Sie Ihr Telefon vier Stunden lang nicht verwendet haben, wenn Sie schwache biometrische Daten verwenden, um sich anzumelden. Am wichtigsten ist, dass schwache Biometrie die neue Android Pie BiometricPrompt-API nicht verwenden kann, um zu sagen, dass Sie wirklich Sie sind.
Lassen Sie Google die Arbeit erledigen und Entwickler verwenden eine API
Die BiometricPrompt-API hängt von starken biometrischen Funktionen ab, die einen Wert zurückgeben, der besagt, dass Sie übereinstimmen, bevor sie erfolgreich sind. Dies bedeutet, dass es beispielsweise schwieriger ist, einen Gesichtsscanner mit einem Foto zu täuschen. Durch die Möglichkeit für jeden Entwickler, auf eine Reihe bekannter starker Authentifizierungstechniken zuzugreifen, müssen Entwickler keine eigenen implementieren oder sich auf schwächere und weniger sichere Methoden verlassen. Dies ist eine große Sache für das IT-Sicherheitsteam Ihrer Bank. Es ist auch eine große Sache für alle, die darauf vertrauen möchten, dass eine App oder ein Dienst ordnungsgemäß erstellt wurde, um Ihre Identität und Ihr Login zu schützen.
Entwickler können die BiometricPrompt-API mit einer Unterstützungsbibliothek verwenden, damit auch ältere Android-Versionen davon profitieren können.
Wir werden keinen anderen Unterschied bemerken, als nicht in der Lage zu sein, zu beweisen, wer wir sind, um Zugang zu sensiblen Daten über uns selbst zu erhalten. Wir müssen keinen Unterschied bemerken, und so etwas wie diese neue API ist am besten, wenn wir es nicht tun - es wurde korrekt gemacht, weil es für den Benutzer unsichtbar ist. Es ist das, was Marketing-Leute gerne als "magisch" bezeichnen, weil wir nicht wissen oder wissen müssen, wie es funktioniert, solange es die ganze Zeit funktioniert.
Wir erwarten, dass Google diese neue Funktion mit der Anmeldeaufforderung von Pixel 3 nutzt. Eine Support-Bibliothek ermöglicht es einem Entwickler, die neue API auf älteren Geräten zu verwenden. Dies sind die Arten von Änderungen, die Android benötigt, um voranzukommen, und es ist großartig, sie zu sehen. Wir hoffen, dass es in der Praxis genauso erfolgreich ist, wie es auf dem Papier aussieht.
Jerry Hildenbrand
Jerry ist der in Mobile Nation ansässige Nerd und stolz darauf. Es gibt nichts, was er nicht auseinander nehmen kann, aber viele Dinge, die er nicht wieder zusammenbauen kann. Sie finden ihn über das Mobile Nations-Netzwerk und Sie können Schlag ihn auf Twitter wenn du sagen willst hey.