Niit - Ict Hà Nội » Tin tức » Tin tức công nghệ » Cải thiện bảo mật ứng dụng với API sinh trắc học của Google
Cải thiện bảo mật ứng dụng với API sinh trắc học của Google
cai-thien-bao-mat-ung-dung-voi-API-sinh-trac-hoc-cua-Gooogle
 
Google đã công bố API xác thực sinh trắc học cho phép các nhà phát triển cải thiện tính bảo mật của ứng dụng của họ.
 
Sinh trắc học đã trở thành phương pháp bảo mật được ưa chuộng và tốc độ xác thực nhanh chóng cho người dùng. Mặc dù chắc chắn có nhiều phương pháp xác thực an toàn hơn, nhưng rất ít phương pháp xác thực được đủ nhanh.
 
Vishwath Mohan, Kỹ sư bảo mật tại Google, đã viết trong một bài đăng trên blog:
 
“Cơ chế xác thực sinh trắc học ngày càng trở nên phổ biến và điều này rất dễ hiểu. Chúng nhanh hơn gõ mật khẩu, dễ dàng hơn là mang theo một khóa bảo mật riêng biệt và chúng ngăn chặn một trong những cạm bẫy phổ biến nhất của xác thực dựa trên tri thức.”
 
Xác thực dựa trên yếu tố tri thức giống như mã PIN hoặc mật khẩu. Ngoài sinh trắc học, hình thức xác thực chính khác là dựa trên sự sở hữu - sử dụng thứ gì đó của bạn như một trình tạo mã thông báo.
 

Google muốn cải thiện hai lĩnh vực chính với xác thực sinh trắc học trong Android P

 
Xác định một mô hình tốt hơn để đo lường bảo mật sinh trắc học, và sử dụng nó để hạn chế chức năng các phương thức xác thực yếu hơn.
 
Cung cấp một điểm vào nền tảng được cung cấp chung cho các nhà phát triển để tích hợp xác thực sinh trắc học vào ứng dụng của họ.
 
Hiện tại có hai chỉ số được sử dụng để xác thực sinh trắc học - Tỷ lệ chấp nhận sai (FAR) và Tỷ lệ từ chối giả (FRR).
 
Google tin rằng FAR là mối quan ngại về bảo mật vì nó đo tần suất một người dùng bất hợp pháp vô tình được công nhận là chủ sở hữu thiết bị. Còn về FRR theo Google, nó là vấn đề đối với khả năng sử dụng, vì nó đo lường tần suất một chủ sở hữu thiết bị hợp pháp phải thử xác thực lại bản thân họ.
 
Hai chỉ số mới đã được thêm vào trong Android P - Tỷ lệ chấp nhận giả mạo (SAR) và Tỷ lệ chấp nhận mạo danh (IAR). Họ đo lường mức độ dễ dàng của kẻ tấn công bỏ qua xác thực.
 
Giả mạo đề cập đến việc sử dụng bản ghi âm tốt (ví dụ: phát lại bản ghi âm hoặc sử dụng hình ảnh khuôn mặt hoặc vân tay), trong khi chấp nhận kẻ mạo danh có nghĩa là bắt chước thành công sinh trắc học của người dùng khác (ví dụ: cố gắng phát âm hoặc trông giống như người dùng mục tiêu).
 
 
Các chỉ số này được sử dụng để phân loại các cơ chế xác thực sinh trắc học mạnh hoặc yếu - với 7% hoặc thấp hơn đại diện cho mạnh, hoặc trên 7% là yếu.
 
Với API BiometricPrompt, Google muốn cho phép sinh trắc học yếu hơn trong khi vẫn giảm nguy cơ truy cập trái phép.
 
"BiometricPrompt chỉ cho thấy các phương thức mạnh mẽ, vì vậy các nhà phát triển có thể được đảm bảo về mức bảo mật nhất quán trên tất cả các thiết bị mà ứng dụng của họ đang chạy", Mohan viết. “Thư viện hỗ trợ cũng được cung cấp cho các thiết bị chạy Android O trở về trước, cho phép các ứng dụng tận dụng lợi thế của API này trên nhiều thiết bị hơn”.
 
API cho phép nền tảng chọn sinh trắc học nào là thích hợp nhất mà không cần các nhà phát triển phải thực hiện logic cụ thể cho chính nó.
 
Bạn có thể tìm tài liệu cho API BiometricPrompt tại đây.
 
Bạn nghĩ gì về API BiometricPrompt mới của Google? Hãy cho chúng tôi biết trong phần bình luận.