Usos de Face ID y Touch ID
Desbloquear un dispositivo o una cuenta de usuario
Si Face ID o Touch ID está desactivado y el dispositivo o la cuenta se bloquea, las claves de las clases más altas de Protección de datos (almacenadas en Secure Enclave) se descartan. No se podrá acceder a los archivos e ítems del llavero de dicha clase hasta que el usuario desbloquee el dispositivo o la cuenta introduciendo su código o contraseña.
Si Face ID o Touch ID está activado y se bloquea el dispositivo o la cuenta, no se descartan las claves sino que se encapsulan con una clave que se proporciona al subsistema de Face ID o Touch ID en Secure Enclave. Cuando un usuario intenta desbloquear el dispositivo o la cuenta (si el dispositivo detecta una coincidencia), proporciona la clave para desencapsular las claves de Protección de datos y el dispositivo o la cuenta se desbloquea. Este proceso ofrece protección adicional, ya que requiere la cooperación entre los subsistemas de Protección de datos y de Face ID o Touch ID para desbloquear el dispositivo.
Al reiniciar el dispositivo, se pierden las claves necesarias para que Face ID o Touch ID puedan desbloquear el dispositivo o la cuenta; Secure Enclave las descarta si se cumple cualquier condición que requiera la introducción del código o de la contraseña.
Asegurar las compras con Apple Pay
El usuario también puede utilizar Face ID y Touch ID con Apple Pay para realizar compras de forma sencilla y segura en tiendas, apps e internet:
Con Face ID en tiendas: Para autorizar un pago en la tienda con Face ID, el usuario debe confirmar primero su intención de pagar pulsando dos veces el botón lateral. Esta doble pulsación indica la intención del usuario mediante un gesto físico que está directamente vinculado a Secure Enclave y que evita cualquier tipo de falsificación maliciosa. Luego el usuario debe autenticarse con Face ID antes de colocar el dispositivo cerca del lector de pagos sin contacto. Para seleccionar un método de pago diferente a Apple Pay después de la autenticación con Face ID, el usuario tiene que autenticarse de nuevo, pero no será necesario volver a pulsar dos veces el botón lateral.
Con Face ID en apps e internet: Para realizar un pago desde las apps y en internet, el usuario debe confirmar su intención de pagar pulsando dos veces el botón lateral y, a continuación, autenticarse con Face ID para autorizar el pago. Si la transacción de Apple Pay no se completa a los 60 segundos de haber pulsado dos veces el botón lateral, el usuario tendrá que confirmar de nuevo su intención de pagar volviéndolo a pulsar dos veces.
Con Touch ID: En el caso de Touch ID, la intención de pagar se confirma mediante el gesto de activación del sensor de Touch ID combinado con la detección correcta de la huella dactilar del usuario.
Uso de API proporcionadas por el sistema
Las apps de terceros pueden usar las API proporcionadas por el sistema para solicitar al usuario que se autentique con Face ID, Touch ID, un código o una contraseña. Además, las apps compatibles con Touch ID pasarán a ser compatibles con Face ID de forma automática sin tener que realizar ningún cambio. Al usar Face ID o Touch ID, solo se informa a la app de si la autenticación se ha realizado correctamente o no, pero no se le proporciona acceso a Face ID, a Touch ID ni a los datos asociados con el usuario registrado.
Proteger los ítems del llavero
Los ítems del llavero también se pueden proteger con Face ID o Touch ID, de modo que Secure Enclave solo los desbloquee con un reconocimiento correcto o con el código del dispositivo o la contraseña de la cuenta. Los desarrolladores de apps disponen de varias API para verificar si el usuario ha establecido un código o una contraseña antes de requerir Face ID, Touch ID, un código o una contraseña para desbloquear ítems del llavero. Los desarrolladores de apps pueden realizar cualquiera de las siguientes acciones:
Solicitar que las operaciones API de autenticación no recurran a la contraseña de una app o al código de un dispositivo. Pueden consultar si un usuario está registrado, lo que permite utilizar Face ID o Touch ID como un segundo factor en apps en las que la seguridad es importante.
Generar y utilizar claves de criptografía de curva elíptica (ECC) en el procesador Secure Enclave. Estas claves pueden estar protegidas mediante Face ID o Touch ID. Las operaciones con estas claves siempre se llevan a cabo en Secure Enclave después de que este autorice su uso.
Realizar y aprobar compras
Los usuarios también pueden configurar Face ID o Touch ID para aprobar las compras en iTunes Store, App Store y Apple Books, por ejemplo, de modo que no tengan que introducir la contraseña de su ID de Apple. Al realizar compras, el procesador Secure Enclave verifica que se ha producido una verificación biométrica y, a continuación, libera las claves ECC usadas para firmar la solicitud de la tienda.