Bu beni Google’dan yorum istemeye yöneltti
Google, üst düzey “güçlü güvenlik” seçeneğinin yalnızca “yüzde 7’den yüksek olmayan bir sahtekarlık ve sahtekarlık kabul oranı” gerektirmesiyle Android cihazlar için yeni biyometri özelliklerini yayınladı Ve Google’ın yeni özellikleri pek yardımcı olmuyor FaceTec’in Kuzey Amerika operasyonlarından sorumlu kıdemli başkan yardımcısı “Bu kriteri ‘güçlü’ olarak tanımlamak sahtekarlık olarak nitelendirilmeli ”
Anonybit CEO’su Frances Zelazny, Google’ın yeni özelliklerinin “biyometrik beklentilerle uyumlu olmadığını ve sektördeki en iyi performansla uyuşmadığını” söyledi Kurumsal güvenlik, birkaç yıldır, genellikle sıfır güven ortamına yavaş yavaş geçişin bir parçası olarak, parolasız seçeneklere, yani geçiş anahtarına geçmenin bir yolunu ciddi şekilde değerlendiriyor Neden cep telefonu üreticilerine hangisini kullanacakları konusunda seçim hakkı vermiyorsunuz da güçlü güvenlik seçeneğini gerçekten güçlü hale getiriyorsunuz?
Google bunu söyledi “Daha iyi şeffaflık için biyometrinin biyometrik sınıfının ve bunu etkinleştirme riskinin kullanıcılara açıklanmasını önemle tavsiye ederiz
Google neden dört hatta beş kategoriyi bir araya getirip ardından OEM’lerin seçebileceği gerçekten güçlü bir güvenlik seçeneği sunamadı?
Sorunun bir diğer kısmı da biyometrinin nasıl sunulduğudur
genel-13
Telif Hakkı © 2023 IDG Communications, Inc Ancak bu aynı zamanda işletmenin büyük telefon üreticilerinin sunduğu sürümle sınırlı olduğu anlamına da geliyor Başka bir deyişle, bir hırsız biyometriyi atlamak istiyorsa, hırsızın yalnızca bir kez başarısız olması yeterlidir ve cihaz erişimi varsayılan olarak PIN’e döner Sanki Android kimlik hırsızlığını ve siber suçları mümkün kılmak istiyor Bu, değerlendirilen olası veri noktalarının sayısının önemsiz hale geldiği anlamına gelir
Bunların çoğu, davranışsal analizler, sürekli kimlik doğrulama, FIDO fob ve – her zaman – bir tür biyometri gibi kimlik doğrulama yöntemlerini içerir Kullanıcı güvenliği çıtasını yükseltmek için sürekli olarak Android OEM ekosistemiyle birlikte çalışıyoruz )
BT yöneticileri ve güvenlik uzmanları, tüketici biyometrisinin yalnızca kolaylık sağlamak için olduğunu içselleştirdiği sürece hiçbir zarar gelmez Google, seçtiği seviyeleri doğrudan savunmayan hiç kimseye atfedilmeyecek isimsiz bir beyanı e-postayla yanıtladı; ancak güvenlik kararlarının sonuçta her telefon üreticisine bağlı olduğunu söyledi Ve cep telefonu üreticilerinin, bir hırsızın erişim kazanmasına izin vermekten çok meşru bir kullanıcıyı engellemekten daha fazla endişe duyduğu göz önüne alındığında, çok yumuşak kriterler seçiyorlar Bu seviyenin güçlü bir güvenlik sağladığı şeklinde etiketlenmesi, muhtemelen kullanıcıları gerçekte olduklarından çok daha fazla korunduklarını düşünmeleri konusunda yanıltacaktır Ancak kimlik doğrulama için buna güvenmeyi tercih ederlerse işler iyi bitmeyecek Matematiksel olarak yüz tanıma, değerlendirdiği çok sayıda faktör göz önüne alındığında oldukça güvenli görünüyor
Google, “Android donanım OEM’leri, ürünlerinde ve cihazın kilidini açmak için uygulayacakları biyometrik güç katmanını tek başına seçiyor” dedi )
Bindirme, aslında sıfır biyometri maliyeti olduğundan, ışık yılı kadar daha uygun maliyetlidir ” Doğru ya da olabilir Biyometriyi gerçekten daha güçlü hale getiren spesifikasyonları belirleyin (Biyometrinin birkaç güvenlik avantajından biri, PIN çalmak için kullanılan en iyi yöntem olan omuz sörfünü etkili bir şekilde engelleyebilmesidir Ancak çoğu biyometri uzmanı, bir şeyin “yüksek güvenlikli” sayılması için sahtekarlık ve kabul oranının %1’e yakın olması gerektiğini söylüyor Hem Apple’ın hem de Google’ın güvenlikten çok kullanışlılığa önem verdiği göz önüne alındığında, bu, işletmelerin ya kendi güçlü biyometri sistemlerini oluşturmaları ya da açıkçası biyometriyi, kullanıcıların kimliğini anlamlı bir şekilde doğrulamayan basit bir kolaylık olarak görmeleri gerektiği anlamına geliyor “Bu çok çok yüksek bir hata oranı
Google’ın takdirine göre, “CDD, Android OEM’lerinin kullanıcı katılımı sırasında bu kimlik doğrulama yönteminin PIN, kalıp ve şifrelerden daha az güvenli olduğunu belirtmek için herhangi bir biyometri için dil sağlamasını gerektirir Bu daha iyi bir yol olmaz mıydı?
Jay Meier, “Bu ‘güçlü güvenlik’ kriteri gülünç derecede kötü” dedi
Hem Apple hem de Google, sözde 6 haneli bir PIN’den daha güvenli olduğu için biyometriyi de öne çıkardı ”
Şirket üç ayrı kategori oluşturmamış olsaydı bu makul bir konum olurdu: “uygunluk” için Sınıf 1, “zayıf” güvenlik için Sınıf 2 ve “güçlü güvenlik” için Sınıf 3 “Donanım OEM’leri aynı zamanda ürünlerinin güvenliğinin de sağlanmasını sağlıyor” Android Uyumluluk Tanımı Belgesi (CDD) gereksinimlerini karşılayabilir Bu geçerli olacaktır; ancak biyometrik kimlik doğrulama başarısız olursa her iki şirket de doğrudan bu PIN’e geri döner ”
Kurumsal CISO’lar için daha da büyük bir sorun var Birçok kişinin FIDO Geçiş Anahtarlarıyla birlikte kullanacağı şey budur (Bindirme, BYOD yaklaşımının bir parçasıdır Bir kuruluş için biyometri sağlamanın iki genel yolu vardır: şirket içinde, özel olarak oluşturulmuş bir üçüncü taraf aracılığıyla veya kuruluşun, çalışanın/yüklenicinin cebinde telefonda bulunan biyometri bilgilerine güvendiği durumda
Bu büyük bir problem Ancak kimlik doğrulama doğruluğunun gerçek testi, sistemin bu veri noktalarını ne kadar katı veya hoşgörülü bir şekilde gördüğüdür Küresel bir Android OEM ekosistemiyle, Android OEM ekosisteminin daha sıkı gereksinimlere uygun ölçekte hazırlanıp uygulayabilmesini sağlamak için yeni gereksinimler yayınlama konusunda dengeli bir yaklaşım benimsiyoruz, aynı zamanda gereksinimlerin OEM’lerin kullanıcıları korumasına olanak vermesini sağlıyoruz Cidden