面容 ID 和触控 ID 的用途
解锁设备或用户账户
如果面容 ID 或触控 ID 已关闭,则当设备或账户锁定时,安全隔区中保存的用于实现最高类数据保护水平的密钥将被丢弃。除非用户输入密码来解锁设备或账户,否则不允许访问该类中的文件和钥匙串项。
如果面容 ID 或触控 ID 已打开,当设备或账户锁定时,这些密钥不会被丢弃,而是通过提供给安全隔区中的面容 ID 或触控 ID 子系统的密钥进行封装。当用户尝试解锁设备或账户时,如果设备检测到匹配成功,它将提供用于解封数据保护密钥的密钥,从而解锁设备或账户。此过程要求数据保护和面容 ID 或触控 ID 子系统相互配合以解锁设备,因此提供了额外的保护。
设备重新启动后,面容 ID 或触控 ID 用来解锁设备或账户所需的密钥会丢失;如果出现任何需要输入密码的情况,安全隔区会丢弃密钥。
使用 Apple Pay 安全购物
用户也可以搭配 Apple Pay 使用面容 ID 和触控 ID 在商店、App 和网上轻松安全地购物:
在商店中使用面容 ID:要使用面容 ID 授权店内支付,用户必须先连按侧边按钮两下来确认支付意图。此连按操作使用直接链接到安全隔区的物理手势来捕捉用户的意图,从而防范恶意进程的伪造。用户然后使用面容 ID 进行认证,之后将设备靠近免接触式支付读卡器。用户可以在面容 ID 认证后选择其他 Apple Pay 支付方式,此操作需要重新认证,但无需再连按两下侧边按钮。
在 App 内和网上使用面容 ID:若要在 App 内和网上进行支付,用户需要连按两下侧边按钮来确认其支付意图,然后使用面容 ID 认证来授权此次付款。如果在连按两下侧边按钮后的 60 秒内没有完成 Apple Pay 交易,用户必须再次连按两下侧边按钮来重新确认支付意图。
使用触控 ID:使用触控 ID 时,系统通过使用手势激活触控 ID 传感器并成功匹配用户的指纹来确认支付意图。
使用系统提供的 API
第三方 App 可以使用系统提供的 API 要求用户使用面容 ID、触控 ID 或密码进行认证,支持触控 ID 的 App 无需任何更改即可自动支持面容 ID。使用面容 ID 或触控 ID 时,App 只会收到认证是否成功的通知,而无法访问面容 ID、触控 ID 或与已注册用户关联的数据。
保护钥匙串项
钥匙串项也可使用面容 ID 或触控 ID 进行保护,使安全隔区仅当匹配成功或设备密码或账户密码正确时才将其释出。在要求使用面容 ID、触控 ID 或密码解锁钥匙串项前,App 开发者会调用 API 确认用户已设置密码。App 开发者可以执行以下任一项操作:
要求认证 API 操作不回退到 App 密码或者设备密码。开发者可以查询用户是否进行了注册,从而允许在注重安全性的 App 中将面容 ID 或触控 ID 用作第二重身份。
在安全隔区内生成和使用受面容 ID 或触控 ID 保护的椭圆曲线加密 (ECC) 密钥。涉及这些密钥的操作始终在安全隔区授权使用后在安全隔区内执行。
购买和批准购买
用户还可以对面容 ID 或触控 ID 进行配置,以便批准 iTunes Store、App Store 和 Apple Books 等商店中的购买行为,省去每次都要输入 Apple ID 密码的麻烦。进行购买时,安全隔区会先验证发生了生物识别授权,然后才会释放 ECC 密钥以用于给商店请求签名。