Использование Touch ID или Face ID без сохранения пользовательских биометрических данных

Question

Заранее прошу прощения, если эта тема не подходит Stackoverflow (прошу модераторов переместить его в случае необходимости).Спасибо.

Мне было интересно, как приложения используют Touch ID или Face ID для проверки личности без сохранения биометрических данных на своих серверах.

Аутентификация без Touch / Face ID (упрощенное здесь)

1. Пользователь входит в свое банковское приложение.
2. Имя пользователя и пароль отправляются на сервер для проверки.
3. Имя пользователя и пароль сверяются с информацией, хранящейся всервер банка.
4. При действительной комбинации имени пользователя и пароля выдается токен, который будет использоваться для текущего сеанса.

После того, как пользователь разрешит приложению использовать их Touch /Идентификатор лица ...

Аутентификация с помощью Touch / Face ID

1. Пользователь входит в свое банковское приложение.
2. Они проверяютс их Touch / Face ID

... что здесь происходит?Что отправляется на сервер для проверки?

Я прочитал, что биометрические данные хранятся в защищенной микросхеме телефона и не хранятся ни на одном сервере.

Для iOS, кроме пакета для Touch / Face ID, нам также необходимо работать с доступом к брелку.Зачем?Что здесь хранится?

Спасибо.

Answer 1

Типичный поток:

Первый логин:

• Пользователь аутентифицируется с помощью имени пользователя / пароля
• Если аутентификация прошла успешно, его спрашивают, хотят ли они использоватьTouchID / FaceID
• Если это так, имя пользователя и пароль сохраняются в цепочке для ключей, с требованием биометрической аутентификации для доступа к данным

При последующих входах в систему:

• Приложение пытается получить сохраненное имя пользователя / пароль, запускающее биометрическую аутентификацию
• Приложение использует сохраненные имя пользователя и пароль для аутентификации на сервере.

Answer 2

Это очень похоже на работу с обычным паролем, это просто второстепенная линия безопасности.

Например, ваше устройство подключено к вашей учетной записи Itunes, которая подключена к вашей банковской учетной записи.Чтобы выполнить действие, устройство запросит аутентификацию в форме Touch Id / Face Id, когда совпадение (с использованием защищенного чипа), устройство отправит запрос в яблоко, которое отправит его в банк.Да, его можно обмануть, поскольку это происходит на стороне клиента, но вам все равно нужно как-то войти в свою учетную запись Itunes, так что это вторичная линия безопасности.

Чтобы было ясно, что вы фактически не входите в учетную запись с помощью TouchID или Face ID вы входите с паролем, который запоминает ваше устройство.для того, чтобы получить пароли, они помнят, что вам нужно Touch ID или Face ID.