Google, üst düzey “güçlü güvenlik” seçeneğinin yalnızca “yüzde 7’den yüksek olmayan bir sahtekarlık ve sahtekarlık kabul oranı” gerektirmesiyle Android cihazlar için yeni biyometri özelliklerini yayınladı. Ancak çoğu biyometri uzmanı, bir şeyin “yüksek güvenlikli” sayılması için sahtekarlık ve kabul oranının %1’e yakın olması gerektiğini söylüyor.
Bu beni Google’dan yorum istemeye yöneltti. Google, seçtiği seviyeleri doğrudan savunmayan hiç kimseye atfedilmeyecek isimsiz bir beyanı e-postayla yanıtladı; ancak güvenlik kararlarının sonuçta her telefon üreticisine bağlı olduğunu söyledi.
Google, “Android donanım OEM’leri, ürünlerinde ve cihazın kilidini açmak için uygulayacakları biyometrik güç katmanını tek başına seçiyor” dedi. “Donanım OEM’leri aynı zamanda ürünlerinin güvenliğinin de sağlanmasını sağlıyor” Android Uyumluluk Tanımı Belgesi (CDD) gereksinimlerini karşılayabilir. Kullanıcı güvenliği çıtasını yükseltmek için sürekli olarak Android OEM ekosistemiyle birlikte çalışıyoruz. Küresel bir Android OEM ekosistemiyle, Android OEM ekosisteminin daha sıkı gereksinimlere uygun ölçekte hazırlanıp uygulayabilmesini sağlamak için yeni gereksinimler yayınlama konusunda dengeli bir yaklaşım benimsiyoruz, aynı zamanda gereksinimlerin OEM’lerin kullanıcıları korumasına olanak vermesini sağlıyoruz.”
Şirket üç ayrı kategori oluşturmamış olsaydı bu makul bir konum olurdu: “uygunluk” için Sınıf 1, “zayıf” güvenlik için Sınıf 2 ve “güçlü güvenlik” için Sınıf 3. Neden cep telefonu üreticilerine hangisini kullanacakları konusunda seçim hakkı vermiyorsunuz da güçlü güvenlik seçeneğini gerçekten güçlü hale getiriyorsunuz?
Google bunu söyledi “Daha iyi şeffaflık için biyometrinin biyometrik sınıfının ve bunu etkinleştirme riskinin kullanıcılara açıklanmasını önemle tavsiye ederiz.” Sorun burada yatıyor. Bu seviyenin güçlü bir güvenlik sağladığı şeklinde etiketlenmesi, muhtemelen kullanıcıları gerçekte olduklarından çok daha fazla korunduklarını düşünmeleri konusunda yanıltacaktır.
Google’ın takdirine göre, “CDD, Android OEM’lerinin kullanıcı katılımı sırasında bu kimlik doğrulama yönteminin PIN, kalıp ve şifrelerden daha az güvenli olduğunu belirtmek için herhangi bir biyometri için dil sağlamasını gerektirir.” Doğru ya da olabilir Biyometriyi gerçekten daha güçlü hale getiren spesifikasyonları belirleyin. Bu daha iyi bir yol olmaz mıydı?
Jay Meier, “Bu ‘güçlü güvenlik’ kriteri gülünç derecede kötü” dedi. FaceTec’in Kuzey Amerika operasyonlarından sorumlu kıdemli başkan yardımcısı. “Bu kriteri ‘güçlü’ olarak tanımlamak sahtekarlık olarak nitelendirilmeli. Cidden. Birçok kişinin FIDO Geçiş Anahtarlarıyla birlikte kullanacağı şey budur. Sanki Android kimlik hırsızlığını ve siber suçları mümkün kılmak istiyor.”
Anonybit CEO’su Frances Zelazny, Google’ın yeni özelliklerinin “biyometrik beklentilerle uyumlu olmadığını ve sektördeki en iyi performansla uyuşmadığını” söyledi. “Bu çok çok yüksek bir hata oranı.”
Kurumsal CISO’lar için daha da büyük bir sorun var. Kurumsal güvenlik, birkaç yıldır, genellikle sıfır güven ortamına yavaş yavaş geçişin bir parçası olarak, parolasız seçeneklere, yani geçiş anahtarına geçmenin bir yolunu ciddi şekilde değerlendiriyor.
Bunların çoğu, davranışsal analizler, sürekli kimlik doğrulama, FIDO fob ve – her zaman – bir tür biyometri gibi kimlik doğrulama yöntemlerini içerir. Bir kuruluş için biyometri sağlamanın iki genel yolu vardır: şirket içinde, özel olarak oluşturulmuş bir üçüncü taraf aracılığıyla veya kuruluşun, çalışanın/yüklenicinin cebinde telefonda bulunan biyometri bilgilerine güvendiği durumda. (Bindirme, BYOD yaklaşımının bir parçasıdır.)
Bindirme, aslında sıfır biyometri maliyeti olduğundan, ışık yılı kadar daha uygun maliyetlidir. Ancak bu aynı zamanda işletmenin büyük telefon üreticilerinin sunduğu sürümle sınırlı olduğu anlamına da geliyor. Hem Apple’ın hem de Google’ın güvenlikten çok kullanışlılığa önem verdiği göz önüne alındığında, bu, işletmelerin ya kendi güçlü biyometri sistemlerini oluşturmaları ya da açıkçası biyometriyi, kullanıcıların kimliğini anlamlı bir şekilde doğrulamayan basit bir kolaylık olarak görmeleri gerektiği anlamına geliyor.
Bu büyük bir problem.
Google neden dört hatta beş kategoriyi bir araya getirip ardından OEM’lerin seçebileceği gerçekten güçlü bir güvenlik seçeneği sunamadı?
Sorunun bir diğer kısmı da biyometrinin nasıl sunulduğudur. Matematiksel olarak yüz tanıma, değerlendirdiği çok sayıda faktör göz önüne alındığında oldukça güvenli görünüyor. Ancak kimlik doğrulama doğruluğunun gerçek testi, sistemin bu veri noktalarını ne kadar katı veya hoşgörülü bir şekilde gördüğüdür. Ve cep telefonu üreticilerinin, bir hırsızın erişim kazanmasına izin vermekten çok meşru bir kullanıcıyı engellemekten daha fazla endişe duyduğu göz önüne alındığında, çok yumuşak kriterler seçiyorlar. Bu, değerlendirilen olası veri noktalarının sayısının önemsiz hale geldiği anlamına gelir.
Hem Apple hem de Google, sözde 6 haneli bir PIN’den daha güvenli olduğu için biyometriyi de öne çıkardı. Bu geçerli olacaktır; ancak biyometrik kimlik doğrulama başarısız olursa her iki şirket de doğrudan bu PIN’e geri döner. Başka bir deyişle, bir hırsız biyometriyi atlamak istiyorsa, hırsızın yalnızca bir kez başarısız olması yeterlidir ve cihaz erişimi varsayılan olarak PIN’e döner. (Biyometrinin birkaç güvenlik avantajından biri, PIN çalmak için kullanılan en iyi yöntem olan omuz sörfünü etkili bir şekilde engelleyebilmesidir.)
BT yöneticileri ve güvenlik uzmanları, tüketici biyometrisinin yalnızca kolaylık sağlamak için olduğunu içselleştirdiği sürece hiçbir zarar gelmez. Ancak kimlik doğrulama için buna güvenmeyi tercih ederlerse işler iyi bitmeyecek. Ve Google’ın yeni özellikleri pek yardımcı olmuyor.
Telif Hakkı © 2023 IDG Communications, Inc.