Usos de Optic ID, Face ID y Touch ID
El funcionamiento de las claves de protección de datos de un dispositivo varía en función de si tiene Optic ID, Face ID, o Touch ID activado o desactivado.
Desbloquear el dispositivo o la cuenta de un usuario
Si Optic ID, Face ID, o Touch ID está desactivado, cuando se bloquea un dispositivo o cuenta, se descartan las claves de la clase de protección de datos más alta, las cuales se almacenan en el Secure Enclave. No se podrá acceder a los archivos y elementos del llavero de dicha clase hasta que el usuario desbloquee el dispositivo o la cuenta con su código o contraseña.
Con Optic ID, Face ID o Touch ID activados, cuando se bloquea el dispositivo o la cuenta, no se descartan las claves, sino que se encapsulan con una clave que se proporciona al subsistema de Optic ID, Face ID o Touch ID en el Secure Enclave. Durante un intento de desbloqueo del dispositivo o de la cuenta, si el dispositivo encuentra una coincidencia, proporcionará la clave para desencapsular las claves de protección de datos, y el dispositivo o la cuenta se desbloquearán. Para desbloquear el dispositivo, el proceso proporciona protección adicional al solicitar la cooperación entre la protección de datos y los subsistemas de Optic ID, Face ID o Touch ID.
Cuando el dispositivo se reinicia, las claves requeridas para que Optic ID, Face ID o Touch ID desbloqueen el dispositivo o la cuenta se pierden, pues el Secure Enclave las descarta después de que se cumple alguna condición que requiera ingresar el código o la contraseña.
Seguridad de las compras con Apple Pay
El usuario también puede usar Optic ID, Face ID o Touch ID con Apple Pay para realizar compras de manera fácil y segura en tiendas, apps y en la web:
Usar Face ID en tiendas: para autorizar una compra dentro de una app con Face ID, el usuario primero debe presionar el botón lateral dos veces para confirmar que quiere realizar el pago. Esta presión doble captura la intención del usuario usando un gesto físico directamente relacionado con el Secure Enclave y es resistente a la falsificación por un proceso malicioso. A continuación, el usuario debe autenticarse usando Face ID antes de colocar el dispositivo cerca del lector de tarjetas sin contacto. Después de autenticarse con Face ID en Apple Pay, el usuario puede seleccionar un método distinto de pago; esto requerirá volver a autenticarse, pero el usuario no tendrá que volver a presionar dos veces el botón lateral.
Usar Optic ID o Face ID en apps y en la web: para realizar un pago dentro de las apps y en Internet, el usuario debe presionar dos veces el botón lateral (en el iPhone o el iPad) o el botón superior (en el Apple Vision Pro), y luego se autentica usando Optic ID o Face ID para autorizar el pago. Si la transacción de Apple Pay no se ha completado 60 segundos después de presionar dos veces el botón lateral o el botón superior, el usuario tendrá que volver a presionarlo dos veces para volver a confirmar que quiere realizar el pago.
Usar Touch ID: en el caso de Touch ID, la intención de pagar se confirma usando el gesto de activación del sensor de Touch ID combinado con la coincidencia exitosa de la huella del usuario.
Usar API proporcionadas por el sistema
Las apps de terceros pueden usar las API proporcionadas por el sistema para pedir al usuario que se autentique mediante Optic ID, Face ID, Touch ID o un código o contraseña. Las apps compatibles con Touch ID son automáticamente compatibles con Optic ID y Face ID sin ningún cambio. Cuando se usa Optic ID, Face ID o Touch ID, a la app sólo se le informa si la autenticación se realizó correctamente o no, pero no se le proporciona acceso a Optic ID, Face ID o Touch ID o los datos asociados con el registro del usuario.
Protección de los elementos del llavero
Los elementos del llavero también se pueden proteger con Optic ID, Face ID o Touch ID, de modo que el Secure Enclave sólo los pueda desbloquear cuando hay una coincidencia correcta o mediante el código del dispositivo o la contraseña de la cuenta. Los desarrolladores de apps tienen API a su disposición para verificar que el usuario ha establecido un código o una contraseña antes de requerir Optic ID, Face ID o Touch ID, un código o una contraseña para desbloquear los elementos del llavero. Los desarrolladores de apps pueden hacer lo siguiente:
Requerir que las operaciones API de autenticación no recurran a las alternativas de utilizar la contraseña de una app o el código del dispositivo. Consultar si un usuario está registrado, lo que permite que se utilice Optic ID, Face ID o Touch ID como un segundo factor en apps en las que la seguridad es muy importante.
Generar o usar claves de criptografía de curva elíptica (ECC) dentro del Secure Enclave que pueden protegerse mediante Optic ID, Face ID o Touch ID. Las operaciones que usan estas claves siempre se realizan dentro del Secure Enclave después de que se autoriza su uso.
Realizar y aprobar compras
Los usuarios también pueden configurar Optic ID, Face ID o Touch ID para aprobar compras de iTunes Store, App Store, Apple Books y más, de modo que no tengan que ingresar la contraseña de su cuenta de Apple. Cuando se realizan compras, el Secure Enclave verifica que se haya producido una autorización biométrica y luego libera las claves ECC utilizadas para firmar la solicitud de la tienda.
Bloquear y ocultar apps
En dispositivos con iOS 18, iPad OS 18 o posterior, Face ID y Touch ID pueden usarse para acceder a apps que el usuario decidió bloquear u ocultar.