Quando metti tutte le uova in un cesto, tendi a volere assicurarti che siano al sicuro. È un po ‘quello che facciamo tutti i giorni con i nostri smartphone. I nostri contatti, i nostri scambi e altre comunicazioni, i nostri documenti, tutto si trova in questi dispositivi che camminiamo con noi ma rischiamo in qualsiasi momento di dimenticare, perdere o essere rubato.

È quindi essenziale garantire che l’accesso al contenuto dello smartphone sia sicuro. Allo stato attuale, i metodi per proteggere i dispositivi informatici rientrano in tre classi:

  • quelli che usano la conoscenza (PIN o password)
  • quelli che usano un elemento che abbiamo (chiave fisica sicura o generatore di token)
  • infine, quelli che fanno appello a ciò che siamo, la biometria.

Falsi positivi e falsi negativi

È questa ultima classe, sempre più popolare perché più sicura e più facile da usare, che Google ha deciso di rafforzare con Android O (8.1) e P, la versione futura del proprio sistema operativo mobile. I tecnici di Mountain View hanno sviluppato una funzione anti-spoofing per rendere l’autenticazione biometrica più sicura.

Google ha utilizzato fino ad ora due metriche per il sistema di autenticazione biometrica di Android, ereditato da Machine Learning, FAR e FRR, falsi positivi e falsi negativi. Sapere quando il tuo smartphone si sblocca mentre non è una persona autorizzata che cerca di usarlo o si rifiuta di darti accesso, mentre tu sei il legittimo proprietario.

Secondo la società americana, in considerazione di questi criteri, nessuno degli strumenti biometrici è sufficientemente preciso da distinguere tra i dati biometrici inseriti dall’utente e quelli forniti da un possibile aggressore. Alcuni sistemi sono programmati per essere più tolleranti e accettare più facilmente i falsi positivi.

Due nuovi criteri

Google annuncia di aver introdotto due nuovi criteri in Android 8.1 per migliorare la sicurezza biometrica: SAR e IAR, rispettivamente per Spoof Accept Rate e Imposter Accept Rate . Potremmo tradurli Tasso di accettazione dell’usurpazione e tasso di accettazione della frode. Il loro obiettivo è misurare la facilità con cui un utente malintenzionato potrebbe aggirare uno strumento di autenticazione biometrica. Il primo è usato per distinguere il tuo viso o impronta da una buona fotografia di te o del tuo dito, per esempio; mentre il secondo fa lo stesso lavoro per un tentativo di somigliarti o imitarti, sia per aspetto che per voce.

SAR e IAR consentono quindi di definire se un metodo di sicurezza biometrico è forte o debole. Sotto il 7% di SAR e IAR, un processo è considerato forte, al di sopra di questo punteggio non è considerato uno standard appropriato.

Applicazione quotidiana

Google spiega poi come questo nuovo controllo funzionerà su base giornaliera. Quindi, i processi, che la loro sicurezza è giudicata più alta o più bassa di questa soglia del 7% (che sarà in grado di essere rivista in futuro), saranno in grado di sbloccare il tuo smartphone o un servizio. Tuttavia, se un sistema biometrico non è abbastanza sicuro o è considerato potenzialmente a rischio di essere ingannato, Android sarà più esigente a seconda del contesto:

  • Se il dispositivo è rimasto inattivo per quattro ore, ad esempio il tempo di ricarica, Android chiederà all’utente di inserire il PIN, una password o di utilizzare una soluzione biometrica forte.
  • Se il dispositivo è rimasto inattivo per 72 ore, questi requisiti verranno applicati per metodi biometrici deboli e forti.
  • Infine, per una maggiore sicurezza, gli utenti che si sono autenticati con una soluzione biometrica debole non saranno in grado di effettuare pagamenti dallo smartphone o effettuare transazioni che comportano l’accesso a KeyStore, la cassaforte in cui Android memorizza le chiavi. cifrari sul tuo dispositivo.

Ovviamente, queste misure di sicurezza avanzate non avrebbero senso se gli sviluppatori nell’ecosistema Android non fossero incoraggiati a proteggere ulteriormente le loro applicazioni. Google fornisce quindi un’API dedicata, che integrerà meccanismi di autenticazione più potenti, che bloccheranno completamente l’autenticazione troppo debole.

Con questi nuovi strumenti, Google intende chiaramente rafforzare la sicurezza dei dispositivi che eseguono Android O (8.1) e P (di prossima pubblicazione), un modo per complicare il compito dei ladri di smartphone e anche della polizia a cui piacerebbe accedere un dispositivo senza il consenso dell’utente.

Fonte: 
Blog sulla sicurezza di Google