Общий подход к защите пользовательских секретов в нативных приложениях заключается в хранении секрета в связке ключей и добавлении дополнительного уровня защиты с помощью биометрии / touchId / FaceID.
Мои вопросы:
Добавляет ли дополнительный уровень защиты (биометрия) ваше приложение еще более безопасно?Если злоумышленник смог разблокировать ваш телефон, используя те же биометрические данные, которые вы используете для защиты своего приложения, какое преимущество вы получили?
Какие векторы атаки вы открыли для приложения?чтобы защитить пользовательские данные в цепочке для ключей, но не использовать биометрию в качестве дополнительного второго фактора?
некоторые приложения также используют 4-значный ввод PIN-кода в качестве альтернативы биометрии, разве это не плацебо?т. е. основная часть безопасности приложения обусловлена тем фактом, что приложение полагается на операционную систему, которая обеспечивает цепочку для ключей и безопасный механизм для этого приложения и только для этого приложения, для извлечения его секретов.Добавление 4-значного пин-кода для якобы хэширования ваших секретов, а затем для их защиты в цепочке для ключей - это что?