Pie de Android tiene muchos cambios que suenan pequeños pero muy significativos en el núcleo de Android. Vemos eso con cada versión actualizada de Android y, a menudo, estos cambios están relacionados con la seguridad. Google tiene un gran interés en mantener Android lo suficientemente seguro como para que el usuario promedio no tenga que preocuparse sobre el cómo o el por qué: la empresa lo necesita en Internet y utiliza los servicios de Internet para hacer dinero. En Android Pie, vemos un gran cambio en lo más conveniente que jamás haya sucedido para mantener su teléfono seguro: la biometría.
La biometría permite que una parte de usted demuestre que es De Verdad tú.
La biometría es el "arte" de utilizar una característica corporal exclusiva para usted como una forma segura de identificarse. Estamos más familiarizados con los escáneres de huellas dactilares, pero la biometría cubre el reconocimiento facial y escaneo de iris e incluso impresión de voz. Cualquier cosa que sea única tú se puede utilizar como su identidad con el equipo y los algoritmos adecuados examinándolo. El escaneo de huellas dactilares facilita poner un candado en la pantalla de su teléfono y, desde el punto de vista del usuario, es lo que hizo que la gente comenzara a hacerlo. El siguiente paso será el reconocimiento facial preciso. Ya vemos empresas que lo usan y lo llaman seguro, y ha sido parte de Android desde Ice Cream Sandwich, aunque Google le dirá que no es un método seguro para desbloquear sus datos.
Verizon ofrece Pixel 4a por solo $ 10 / mes en nuevas líneas ilimitadas
Eso está a punto de cambiar. Con Android 9, Google ha agregado un modelo de seguridad completamente nuevo para la biometría. Sobre la base de un conjunto de funciones introducido en Android 8.0, Google tiene una nueva forma de verificar la precisión de los datos biométricos, un nuevo conjunto de características que pueden usar la idea para probar la precisión, un nuevo modelo que divide seguridad biométrica en débil y fuerte, y finalmente una API pública que los desarrolladores pueden usar para aprovechar esto siempre que necesiten identificar correctamente el usuario.
¿Qué hace que la biometría sea "fuerte"?
Google introdujo lo que llama métricas SAR / IAR (Smaricón UNAaceptación Rcomió / yomposter UNAaceptación Rate) que miden cómo, y con qué facilidad, un atacante (esa es la palabra común que los profesionales de seguridad usan para "persona que quiere en su teléfono") puede sortear una implementación de seguridad biométrica correctamente construida. Piense en alguien que usa una buena foto de su cara para engañar al desbloqueo facial y eso es una suplantación mientras cambia la forma en que se ve para engañar a un escáner facial cuando Imposter intenta.
Estos puntajes SAR / IAR se utilizan para determinar si un sistema de seguridad biométrico está fuerte o débiles. Usar un puntaje del 7% (eso significa 93% por ciento efectivo el 100% del tiempo) porque ese es el puntaje otorgado a una implementación adecuada de un escáner de huellas dactilares en un teléfono Android moderno como base, la biometría fuerte tendrá acceso que la biometría débil no tendrá.
Ambos métodos están bien para usar para desbloquear su teléfono. Pero la biometría clasificada como débil no podrá autenticarse para pagos o acceder a una clave vinculada a la autenticación (una clave de autenticación especial que una aplicación ha creado solo para su propio uso) para cualquier tipo de dinero actas. También se le pedirá que use una función biométrica sólida o que ingrese manualmente una contraseña o un PIN después de cuatro horas de no usar su teléfono si usa datos biométricos débiles para iniciar sesión. Lo más importante es que la biometría débil no podrá usar la nueva API de Android Pie BiometricPrompt para decir que realmente eres tú.
Deje que Google haga el trabajo y los desarrolladores utilicen una API
La API BiometricPrompt depende de características biométricas sólidas que devuelvan un valor que indique que usted es compatible antes de que actúe con éxito. Esto significa que será más difícil engañar a un escáner facial con una foto, por ejemplo. Al tener una forma para que cada desarrollador aproveche un conjunto de técnicas de autenticación sólidas conocidas, los desarrolladores no tendrán que implementar las suyas propias ni depender de métodos más débiles y menos seguros. Esto es muy importante para el equipo de seguridad de TI de su banco. También es un gran problema para cualquiera que quiera confiar en que una aplicación o servicio está construido correctamente para mantener su identidad e inicio de sesión seguros.
Los desarrolladores podrán usar la API BiometricPrompt con una biblioteca de soporte para permitir que las versiones anteriores de Android también se beneficien.
No notaremos una diferencia más que no poder utilizar formas deficientes de probar quiénes somos para dar acceso a datos confidenciales sobre nosotros mismos. No necesitamos notar una diferencia, y algo como esta nueva API es mejor cuando no lo hacemos: se hizo correctamente porque es invisible para el usuario. Es lo que a la gente de marketing le gusta llamar "mágico", porque no sabemos ni necesitamos saber cómo funciona siempre que funcione todo el tiempo.
Esperamos que Google haga uso de esta nueva función con el indicador de inicio de sesión de Pixel 3, y una biblioteca de soporte permite a un desarrollador usar la nueva API en dispositivos más antiguos. Estos son los tipos de cambios que Android necesita para avanzar y es genial verlos realizados. Esperamos que tenga tanto éxito en la práctica como en el papel.
Jerry Hildenbrand
Jerry es el nerd residente de Mobile Nation y está orgulloso de ello. No hay nada que no pueda desarmar, pero muchas cosas que no pueda volver a montar. Lo encontrará en la red Mobile Nations y podrá pégale en Twitter si quieres decir hola.