การอนุญาตให้แอปใช้ Touch ID บนอุปกรณ์ iOS ปลอดภัยหรือไม่

21

มีแอพบางตัวที่อนุญาตให้ลงชื่อเข้าใช้ผ่าน Touch ID (เช่นแอพธนาคาร)

ฉันรู้ว่ามันค่อนข้างปลอดภัยในการใช้คุณสมบัตินี้ตราบใดที่ไม่มีใครสามารถเข้าถึงลายนิ้วมือของฉันได้อย่างผิดกฎหมายและอุปกรณ์นั้นไม่สามารถเข้าถึงทางกายภาพได้

แต่สิ่งที่ถ้าฐานข้อมูลของโปรแกรมที่ได้รับการบุกรุก ?

ข้อมูลประเภทใดที่จะรั่วไหลออกมา? การกระทำประเภทใดที่จะมีข้อมูลนี้ iOS ป้องกันข้อมูลนี้จากการรั่วไหลหรือไม่? เอกสารนี้อยู่ที่ไหนสักแห่ง?

ฉันเดาได้เลยว่าแอปพลิเคชั่นจะไม่ได้รับอนุญาตให้เข้าถึงภาพถ่ายพิมพ์ลายนิ้วมือได้โดยตรงควรมีแฮชบางชนิดที่ไม่อนุญาตให้กู้คืนลายนิ้วมือต้นฉบับ ในกรณีที่เหมาะสมที่สุด iOS จะไม่อนุญาตให้แอปเข้าถึงแฮช แต่จะให้วิธีการอนุญาตบางอย่างแทน

ios  security  touch-id 
Sasha Shpota
แหล่งที่มา
5
ตราบใดที่ไม่มีใครสามารถเข้าถึงลายนิ้วมือของฉันอย่างผิดกฎหมายบาร์เทนเดอร์จะทำอะไรหลังจากที่คุณดื่มเบียร์ไพน์ของคุณจนเสร็จ ...
Bakuriu
ยังเห็นUnhashable ลายนิ้วมือของคุณไม่มีอะไรที่ปลอดภัย
Wildcard

คำตอบ:

38

แอปพลิเคชันไม่สามารถเข้าถึงข้อมูลลายนิ้วมือที่เก็บไว้ในอุปกรณ์ API ที่จัดทำโดย Apple บอกแอปว่ากระบวนการรับรองความถูกต้องสำเร็จด้วยค่าใช่ / ไม่ใช่อย่างง่าย ไม่มีแฮช นี่เป็นเอกสาร

นอกจากนี้ข้อมูลลายนิ้วมือจะถูกเก็บไว้ใน "Secure Enclave" ของอุปกรณ์และไม่สามารถเข้าถึงได้

Secure Enclave เป็นส่วนหนึ่งของ A7 และชิปใหม่กว่าที่ใช้สำหรับ Touch ID ภายใน Secure Enclave ข้อมูลลายนิ้วมือจะถูกจัดเก็บในรูปแบบการเข้ารหัสซึ่งตามข้อมูลของ Apple สามารถถอดรหัสได้โดยกุญแจที่มีให้โดย Secure Enclave ดังนั้นข้อมูลลายนิ้วมือจะถูกปิดกั้นจากส่วนที่เหลือของชิป A7 และ iOS ที่เหลือ .

ที่มา: iPhone Wiki

Mateusz Szlosek
แหล่งที่มา
4
นี่เป็นวิธีที่ดีที่สุดสำหรับผู้ใช้และนักพัฒนา ฉันไม่ต้องการความยุ่งยากด้านความปลอดภัยในการเข้าถึงข้อมูลลายนิ้วมือจริงหรือความรับผิดชอบในการเปรียบเทียบข้อมูลที่เก็บไว้กับการสแกน หากเราได้รับรูปภาพหรือสิ่งที่คล้ายกันจริง ๆ การเปรียบเทียบจะเป็นความเจ็บปวดและหากเป็นเพียงแค่คู่ของแฮชมันจะไม่สำคัญเลยว่าจะไม่มีเหตุผลที่ระบบจะไม่สามารถทำได้ก่อน ไม่มีเหตุผลที่ดีที่ Touch ID ควรเกี่ยวข้องกับแอปที่เห็นลายนิ้วมือ
jscs
13

ใช่มันปลอดภัยอย่างสมบูรณ์ในการใช้ Touch ID บน iPhone

แอพที่ใช้ Touch ID ไม่สามารถเข้าถึงลายนิ้วมือของคุณหรือแฮชใด ๆ ที่เกิดจากลายนิ้วมือของคุณ แอพไม่ได้ประมวลผลการจับคู่ลายนิ้วมือเอง แต่เรียกว่า Touch ID API (ระบบ) ซึ่งจะส่งผลลัพธ์กลับไปที่แอพ ดังนั้นแอพทั้งหมดจะได้รับเป็นอย่างใดอย่างหนึ่งtrueหรือfalseขึ้นอยู่กับว่ามันจะประสบความสำเร็จ

ดังนั้นแอปไม่จำเป็นต้องเข้าถึงแฮชชนิดใดและกระบวนการ Touch ID ทั้งหมดทำโดยระบบ iPhone ของคุณ (iOS) คล้ายกับวิธีที่คุณปลดล็อคโทรศัพท์ด้วย Touch ID

ในฐานะที่เป็น9to5mac อธิบาย :

เมื่อนักพัฒนาต้องการให้ผู้ใช้แอปตรวจสอบความถูกต้องพวกเขาจะไม่เข้าไปเกี่ยวข้องกับวิธีการตรวจสอบความถูกต้อง พวกเขาใช้รหัสที่ขอให้ iOS ทำเพื่อพวกเขา - สิ่งที่ Apple เรียกว่า Local Framework Authentication

(เน้นที่เหมือง)

และAppleInsiderอธิบาย:

แอปเปิ้ลได้เก็บสัมผัสรหัสรักษาความปลอดภัยโดยไม่ได้ให้การเข้าถึงแอพพลิเคใด ๆ ของข้อมูลลายนิ้วมือที่เก็บไว้ในวงล้อมที่เชื่อถือได้ของ พรอมต์ที่ปรากฏขึ้นนั้นเหมือนกับที่ Apple ใช้เพื่ออนุญาตการซื้อ iTunes และ App Store แล้ว

(เน้นที่เหมือง)

หมีแพนด้า
แหล่งที่มา
ที่จริงแล้วใน iOS 11 พรอมต์นั้นเปลี่ยนไปสำหรับ Apple Pay แต่ไม่ใช่สำหรับแอพมากมาย ในความเป็นจริงไม่จำเป็นต้องมีพรอมต์ - บางแอพมีภาพเคลื่อนไหวของตัวเอง
Tim
2

ใช่ - ปลอดภัยทั้งหมด

ข้อมูล Touch ID ของคุณจะถูกจัดเก็บไว้ในอุปกรณ์ของคุณและ Apple หรือบุคคลที่สามไม่สามารถเข้าถึงได้

เมื่อคุณใช้ Touch ID สำหรับแอปของบุคคลที่สามมันจะอนุญาตการเข้าถึงของคุณในเครื่องและแอพจะไม่เห็นข้อมูลลายนิ้วมือของคุณเฉพาะที่ iPhone ของคุณอนุญาต

ฉันใช้ Touch ID สำหรับแอพ PayPal ของฉันเป็นการส่วนตัวรวมถึงบริการที่เชื่อถือได้อื่น ๆ

(หากคุณกังวลอาจจะไม่ใช้สำหรับ บริษัท ที่คุณไม่ไว้วางใจอย่างเต็มที่ - แม้ว่าจะเป็นไปไม่ได้ที่พวกเขาจะเห็นข้อมูล Touch ID ของคุณ)

อังเดร
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.