앱이 iOS 기기에서 Touch ID를 사용하도록 허용하는 것이 안전합니까?


21

Touch ID를 통해 로그인 할 수있는 앱 (예 : 금융 앱)이 있습니다.

아무도 내 지문에 대한 불법 액세스 권한이없고 기기에 물리적으로 액세스하지 않는 한이 기능을 사용하는 것이 비교적 안전하다는 것을 알고 있습니다.

그러나 응용 프로그램의 데이터베이스가 손상되면 어떻게해야합니까?

어떤 종류의 정보가 유출됩니까? 이 정보를 가지고 어떤 조치를 취할 수 있습니까? iOS는이 정보가 유출되지 않도록 보호합니까? 이것은 어딘가에 기록되어 있습니까?

응용 프로그램에 지문 사진에 직접 액세스 할 수 없다고 추측 할 수 있습니다. 원래 지문을 복원 할 수없는 해시가 있어야합니다. 이상적인 경우 iOS는 앱이 해시에 액세스하는 것을 허용하지 않고 대신 인증 방법을 제공합니다.


5
맥주 파인트를 마친 후 아무도 내 지문에 불법으로 접근 할 수 있는 한 바텐더는 ...
Bakuriu

답변:


38

응용 프로그램은 장치에 저장된 지문 데이터에 액세스 할 수 없습니다. Apple에서 제공 한 API는 간단한 예 / 아니요 값으로 인증 프로세스가 성공했는지 앱에 알려줍니다. 해시가 제공되지 않습니다. 문서 는 다음과 같습니다 .

또한 지문 데이터는 장치의 "Secure Enclave"에 저장되며 액세스 할 수 없습니다.

Secure Enclave는 Touch ID에 사용되는 A7 및 최신 칩의 일부입니다. Secure Enclave 내에서 지문 데이터는 암호화 된 형태로 저장되는데, Apple에 따르면 Secure Enclave에서 제공하는 키로 만 암호 해독 할 수 있으므로 나머지 A7 칩 및 나머지 iOS에서 지문 데이터를 차단할 수 있습니다. .

출처 : 아이폰 위키


4
이것은 실제로 사용자 개발자 모두에게 가장 좋은 방법입니다 . 보안 지문이 실제 지문 데이터에 액세스하는 데 어려움을 겪거나 저장된 데이터와 스캔을 비교할 책임도 없습니다. 실제로 이미지 나 이와 유사한 정보를 제공했다면 비교가 어려울 것입니다. 해시 쌍이라면 시스템이 먼저 그것을 할 수 없었을 이유가 없을 것입니다. Touch ID가 앱에 지문을 표시해야하는 이유는 없습니다.
jscs

13

예, iPhone에서 Touch ID를 사용하는 것이 안전합니다.

Touch ID를 사용하는 앱은 지문에 액세스 할 수 없으며 지문에서 생성 된 해시도 없습니다. 앱은 실제로 지문 일치 자체를 처리하지 않고 Touch ID API (시스템)를 호출 한 다음 결과를 앱으로 다시 보냅니다. 따라서 모든 앱 은 성공 여부에 따라 true또는 false입니다.

따라서 응용 프로그램은 모든 종류의 해시에 액세스 할 필요가 없으며 Touch ID로 휴대 전화의 잠금을 해제하는 방법과 유사하게 iPhone 시스템 (iOS)에서 전체 Touch ID 프로세스를 수행합니다.

9to5mac은 다음 과 같이 설명합니다 .

개발자는 앱 사용자의 인증을 원할 때 해당 인증이 수행되는 방식에 대해 관여하지 않습니다. 그들은 단지 그들을 위해 그것을 할 아이폰 OS를 요청 코드를 사용 애플이 로컬 인증 프레임 워크를 부르는을 -.

(강조 광산)

그리고 AppleInsider 는 다음 과 같이 설명합니다.

Apple은 iPhone의 안전한 보관함에 저장된 지문 데이터에 앱 액세스를 제공하지 않으므로 Touch ID를 안전하게 유지했습니다 . 나타나는 프롬프트는 Apple이 이미 iTunes 및 App Store 구입을 승인하는 데 사용하는 것과 동일합니다.

(강조 광산)


실제로 iOS 11에서는 Apple Pay의 프롬프트가 변경되었지만 많은 앱에서는 변경되지 않았습니다. 실제로 프롬프트가 필요하지 않습니다. 일부 앱에는 자체 애니메이션이 있습니다.
Tim

2

예, 완전히 안전합니다.

Touch ID 데이터는 기기에 로컬로 저장되며 Apple 또는 다른 타사에서 액세스 할 수 없습니다.

예를 들어 타사 응용 프로그램에 Touch ID를 사용하면 로컬로 액세스 권한이 부여되고 응용 프로그램은 지문 데이터를 볼 수 없으며 iPhone에서 승인 한 것만 볼 수 있습니다.

저는 PayPal 앱과 기타 신뢰할 수있는 몇 가지 서비스에 Touch ID를 개인적으로 사용합니다.

(걱정이 있다면 물리적으로 불가능한 Touch ID 데이터를 볼 수는 없지만 완전히 신뢰하지 않는 회사에서는 사용하지 마십시오.)

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.