Хакер #305. Многошаговые SQL-инъекции
Google завершает разработку программного интерфейса для Android, который будет следить за биометрическими показателями пользователя и определять вероятность того, что телефон находится в руках законного владельца. Предполагается, что это позволит обходиться без паролей.
Компания продемонстрировала программный интерфейс Trust API на конференции Google I/O 2016. В июне крупные финансовые организации, с которыми сотрудничает Google, протестируют новую технологию в своих приложениях. Если всё пойдёт по плану, то к концу года Trust API станет доступен всем.
При использовании Trust API система постоянно анализирует действия пользователя. Она следит, как и с какой скоростью он нажимает на клавиши, запоминает места, которые он посещает, определяет характерную для него походку и особенности речи, распознаёт лица и следит за множеством других показателей.
Сам по себе каждый из них относительно ненадёжен, однако в сумме они обеспечивают неплохую точность. В Google утверждают, что Trust API в десять раз лучше справляется с идентификацией пользователя, чем сканеры отпечатков пальцев, и на два порядка надёжнее, чем четырёхразрядные цифровые PIN-коды.
Когда не происходит ничего необычного, собираемые данные почти не отклоняются от нормы. Но если системе не удаётся распознать лицо, походка отличается от нормальной, а GPS сообщает, что телефон находится в незнакомом месте, Trust API начинает сомневаться. Вероятность того, что устройство попало в чужие руки, растёт.
Приложения, поддерживающие Trust API, смогут узнавать эту вероятность. Если личность пользователя не вызывает сомнений у системы, они пропустят его без пароля и других проверок. Когда вероятность подлога высока, приложение может потребовать пароль, а то и отпечаток пальца. Порог недоверия зависит от того, о каких данных идёт речь. У социальной сети он один, а у банка совсем другой.
Недостатки такого подхода тоже очевидны, но это не значит, что он плох. Значительная доля пользователей использует примитивные и неоригинальные пароли, которые не дают никакой защиты. Для них переход на Trust API будет огромным шагом вперёд.