Utilizzi di Face ID e Touch ID
Sblocco di un dispositivo o di un account utente
Se Face ID o Touch ID non sono attivi, quando un dispositivo o un account si bloccano, vengono eliminate le chiavi per la classe più alta della protezione dati (archiviate in Secure Enclave). I file e gli elementi del portachiavi di quella classe non sono accessibili finché l’utente non sblocca il dispositivo o l’account inserendo il codice o la password.
Se Face ID o Touch ID sono attivati, le chiavi non vengono eliminate quando il dispositivo o l’account si bloccano, ma vengono invece cifrate tramite una chiave che viene fornita al sottosistema Face ID o Touch ID all’interno di Secure Enclave. Quando un utente prova a sbloccare il dispositivo o l’account, se il dispositivo o l’account rilevano una corrispondenza corretta, forniranno la chiave per decifrare le chiavi di protezione dati e saranno dunque sbloccati. Questo processo fornisce un’ulteriore protezione perché richiede la cooperazione tra i sottosistemi della protezione dati e di Face ID o Touch ID per sbloccare il dispositivo.
Quando il dispositivo si riavvia, le chiavi richieste per Face ID o Touch ID per lo sblocco del dispositivo o dell’account vanno perse: una volta soddisfatte le condizioni che richiedono l’inserimento del codice o della password vengono infatti scartate da Secure Enclave.
Acquisti protetti con Apple Pay
L’utente può utilizzare Face ID e Touch ID anche con Apple Pay per effettuare acquisti facili e sicuri nei negozi, nelle app e sul web.
Utilizzo di Face ID nei negozi: per autorizzare un pagamento in un negozio con Face ID, l’utente dovrà prima confermare l’intenzione di pagare facendo doppio clic con il tasto laterale. Questo doppio clic rileva l’intenzione dell’utente tramite un gesto fisico collegato direttamente a Secure Enclave ed è a prova di contraffazione da parte di processi potenzialmente dannosi. L’utente quindi eseguirà l’autenticazione con Face ID prima di posizionare il dispositivo vicino al lettore per il pagamento contactless. Dopo l’autenticazione tramite Face ID, è possibile selezionare un altro metodo di pagamento di Apple Pay. Ciò richiede una nuova autenticazione, ma l’utente non dovrà premere di nuovo due volte il tasto laterale.
Utilizzo di Face ID nelle app e sul web: per effettuare un pagamento all’interno delle app e sul web, l’utente conferma l’intenzione di pagare facendo doppio clic con il tasto laterale, quindi eseguirà l’autenticazione con Face ID per autorizzare il pagamento. Se la transazione di Apple Pay non viene completata entro 60 secondi dal momento in cui l’utente ha premuto due volte il tasto laterale, occorrerà confermare l’intenzione di pagare premendolo di nuovo due volte.
Utilizzo di Touch ID: nel caso di Touch ID, l’intenzione di pagare è confermata dal gesto di attivazione del sensore di Touch ID, insieme alla corretta corrispondenza dell’impronta digitale dell’utente.
Utilizzare la API fornite dal sistema
Le app di terze parti possono utilizzare le API fornite dal sistema per richiedere l’autenticazione dell’utente tramite Face ID, Touch ID, un codice o una password; le app compatibili con Touch ID, supportano automaticamente anche Face ID senza alcun cambiamento. Quando vengono utilizzati Face ID o Touch ID, all’app viene notificata solo l’avvenuta autenticazione: non potrà accedere a Face ID, Touch ID né ad altri dati associati all’utente registrato.
Protezione degli elementi del portachiavi
Anche gli elementi del portachiavi possono essere protetti con Face ID o Touch ID e saranno sbloccati da Secure Enclave solo con una corrispondenza corretta o utilizzando il codice del dispositivo o la password dell’account. Gli sviluppatori di app dispongono di API per verificare che l’utente abbia impostato un codice o una password prima di richiedere l’uso di Face ID, Touch ID, di un codice o di una password per sbloccare gli elementi del portachiavi. Gli sviluppatori di app possono:
Impedire che le operazioni dell’API di autenticazione ricorrano alla password di un’app o al codice del dispositivo e verificare che un utente sia registrato, consentendo l’utilizzo di Face ID o Touch ID come secondo fattore in app sensibili alla sicurezza.
Generare e utilizzare chiavi ECC all’interno di Secure Enclave che possono essere protette da Face ID o Touch ID. Le operazioni con queste chiavi avvengono sempre all’interno di Secure Enclave dopo che Secure Enclave ne ha autorizzato l’uso.
Acquisti e approvazione degli acquisti
Gli utenti possono configurare Face ID o Touch ID anche per l’approvazione degli acquisti su iTunes Store, App Store e Apple Books, così non dovranno inserire la password dell’ID Apple. Quando vengono effettuati degli acquisti, Secure Enclave verifica che sia stata eseguita un’autorizzazione biometrica, quindi rilascia le chiavi ECC usate per firmare la richiesta del negozio.