앱이 iOS 기기에서 Touch ID를 사용하도록 허용하는 것이 안전합니까?

Touch ID를 통해 로그인 할 수있는 앱 (예 : 금융 앱)이 있습니다.

아무도 내 지문에 대한 불법 액세스 권한이없고 기기에 물리적으로 액세스하지 않는 한이 기능을 사용하는 것이 비교적 안전하다는 것을 알고 있습니다.

그러나 응용 프로그램의 데이터베이스가 손상되면 어떻게해야합니까?

어떤 종류의 정보가 유출됩니까? 이 정보를 가지고 어떤 조치를 취할 수 있습니까? iOS는이 정보가 유출되지 않도록 보호합니까? 이것은 어딘가에 기록되어 있습니까?

응용 프로그램에 지문 사진에 직접 액세스 할 수 없다고 추측 할 수 있습니다. 원래 지문을 복원 할 수없는 해시가 있어야합니다. 이상적인 경우 iOS는 앱이 해시에 액세스하는 것을 허용하지 않고 대신 인증 방법을 제공합니다.

응용 프로그램은 장치에 저장된 지문 데이터에 액세스 할 수 없습니다. Apple에서 제공 한 API는 간단한 예 / 아니요 값으로 인증 프로세스가 성공했는지 앱에 알려줍니다. 해시가 제공되지 않습니다. 문서 는 다음과 같습니다 .

또한 지문 데이터는 장치의 "Secure Enclave"에 저장되며 액세스 할 수 없습니다.

Secure Enclave는 Touch ID에 사용되는 A7 및 최신 칩의 일부입니다. Secure Enclave 내에서 지문 데이터는 암호화 된 형태로 저장되는데, Apple에 따르면 Secure Enclave에서 제공하는 키로 만 암호 해독 할 수 있으므로 나머지 A7 칩 및 나머지 iOS에서 지문 데이터를 차단할 수 있습니다. .

출처 : 아이폰 위키

예, iPhone에서 Touch ID를 사용하는 것이 안전합니다.

Touch ID를 사용하는 앱은 지문에 액세스 할 수 없으며 지문에서 생성 된 해시도 없습니다. 앱은 실제로 지문 일치 자체를 처리하지 않고 Touch ID API (시스템)를 호출 한 다음 결과를 앱으로 다시 보냅니다. 따라서 모든 앱 은 성공 여부에 따라 true또는 false입니다.

따라서 응용 프로그램은 모든 종류의 해시에 액세스 할 필요가 없으며 Touch ID로 휴대 전화의 잠금을 해제하는 방법과 유사하게 iPhone 시스템 (iOS)에서 전체 Touch ID 프로세스를 수행합니다.

9to5mac은 다음 과 같이 설명합니다 .

개발자는 앱 사용자의 인증을 원할 때 해당 인증이 수행되는 방식에 대해 관여하지 않습니다. 그들은 단지 그들을 위해 그것을 할 아이폰 OS를 요청 코드를 사용 애플이 로컬 인증 프레임 워크를 부르는을 -.

(강조 광산)

그리고 AppleInsider 는 다음 과 같이 설명합니다.

Apple은 iPhone의 안전한 보관함에 저장된 지문 데이터에 앱 액세스를 제공하지 않으므로 Touch ID를 안전하게 유지했습니다 . 나타나는 프롬프트는 Apple이 이미 iTunes 및 App Store 구입을 승인하는 데 사용하는 것과 동일합니다.

(강조 광산)

예, 완전히 안전합니다.

Touch ID 데이터는 기기에 로컬로 저장되며 Apple 또는 다른 타사에서 액세스 할 수 없습니다.

예를 들어 타사 응용 프로그램에 Touch ID를 사용하면 로컬로 액세스 권한이 부여되고 응용 프로그램은 지문 데이터를 볼 수 없으며 iPhone에서 승인 한 것만 볼 수 있습니다.

저는 PayPal 앱과 기타 신뢰할 수있는 몇 가지 서비스에 Touch ID를 개인적으로 사용합니다.

(걱정이 있다면 물리적으로 불가능한 Touch ID 데이터를 볼 수는 없지만 완전히 신뢰하지 않는 회사에서는 사용하지 마십시오.)