क्या iOS डिवाइस पर ऐप को टच आईडी का उपयोग करने देना सुरक्षित है?

कुछ ऐप हैं जो टच आईडी (उदाहरण के लिए बैंकिंग ऐप) के माध्यम से लॉगिंग की अनुमति देते हैं।

मुझे पता है कि इस सुविधा का उपयोग करना अपेक्षाकृत सुरक्षित है जब तक कि किसी के पास मेरी उंगलियों के निशान तक अवैध पहुंच नहीं है, और डिवाइस भौतिक रूप से एक्सेस नहीं है।

लेकिन क्या होगा अगर आवेदन के डेटाबेस से समझौता हो जाए ?

किस तरह की जानकारी लीक होगी? यह जानकारी होने पर किस तरह की कार्रवाई की जा सकती है? क्या iOS इस जानकारी को लीक होने से बचाता है? क्या यह कहीं दस्तावेज है?

मैं अनुमान लगा सकता हूं कि एप्लिकेशन को फिंगर-प्रिंट फोटो तक सीधे पहुंच नहीं दी जाएगी, किसी तरह का हैश होना चाहिए जो मूल फिंगर-प्रिंट को पुनर्स्थापित करने की अनुमति नहीं देता है। आदर्श मामले में, iOS एप्लिकेशन को हैश तक पहुंचने की अनुमति भी नहीं देगा, इसके बजाय यह किसी तरह का प्राधिकरण प्रदान करेगा।

एप्लिकेशन के पास डिवाइस पर संग्रहीत फिंगरप्रिंट डेटा तक पहुंच नहीं है। Apple द्वारा प्रदान किया गया एपीआई ऐप को बताता है कि क्या साधारण प्रक्रिया हां / ना के हिसाब से सफल रही। कोई हैश प्रदान नहीं किया गया है। यहाँ प्रलेखन है ।

साथ ही फिंगरप्रिंट डेटा डिवाइस के "सिक्योर एन्क्लेव" में संग्रहित है और सुलभ नहीं है।

सिक्योर एंक्लेव ए 7 और टच आईडी के लिए उपयोग किए जाने वाले नए चिप्स का हिस्सा है। सिक्योर एन्क्लेव के भीतर, फिंगरप्रिंट डेटा को एन्क्रिप्टेड रूप में संग्रहीत किया जाता है - जो कि Apple के अनुसार - केवल सिक्योर एंक्लेव द्वारा उपलब्ध कुंजी द्वारा डिक्रिप्ट किया जा सकता है, जिससे फिंगरप्रिंट डेटा A7 चिप और iOS के बाकी हिस्सों से अलग हो जाता है। ।

स्रोत: iPhone विकी

हां, iPhone पर टच आईडी का उपयोग करना पूरी तरह से सुरक्षित है।

टच आईडी का उपयोग करने वाले ऐप्स के पास आपके फिंगरप्रिंट तक पहुंच नहीं है, और न ही आपके फिंगरप्रिंट से कोई हैश उत्पन्न होता है। ऐप वास्तव में फिंगरप्रिंट मिलान की प्रक्रिया ही नहीं करता है, बल्कि, यह टच आईडी एपीआई (सिस्टम) को कॉल करता है जो बाद में परिणाम को ऐप में वापस भेज देगा। तो, सभी एप्लिकेशन प्राप्त होगा trueया तो falseयह निर्भर करता है कि क्या यह सफल है।

इस प्रकार, ऐप को किसी भी तरह के हैश तक पहुंचने की आवश्यकता नहीं है और पूरी टच आईडी प्रक्रिया आपके iPhone के सिस्टम (iOS) द्वारा की जाती है, उसी तरह जैसे आप टच आईडी के साथ अपने फोन को अनलॉक करते हैं।

9to5mac के रूप में बताते हैं :

जब कोई डेवलपर ऐप उपयोगकर्ता को प्रमाणित करना चाहता है, तो वे उस प्रमाणीकरण के प्रदर्शन के तरीके के बारे में नहीं सोचते हैं। वे बस उस कोड का उपयोग करते हैं जो आईओएस को उनके लिए यह करने के लिए कहता है - एप्पल स्थानीय प्रमाणीकरण ढांचे को क्या कहता है।

(जोर मेरा)

और AppleInsider बताते हैं:

ऐप्पल ने iPhone के सुरक्षित एन्क्लेव पर संग्रहीत किसी भी फिंगरप्रिंट डेटा तक एप्लिकेशन पहुंच प्रदान करके टच आईडी को सुरक्षित रखा है । दिखाई देने वाला संकेत वही है जो एक Apple पहले से ही iTunes और ऐप स्टोर खरीद को अधिकृत करने के लिए उपयोग करता है।

(जोर मेरा)

हाँ - यह पूरी तरह से सुरक्षित है।

आपकी टच आईडी डेटा आपके डिवाइस पर स्थानीय रूप से संग्रहीत है और Apple या किसी अन्य 3 पार्टियों द्वारा सुलभ नहीं है।

जब आप उदाहरण के लिए किसी तीसरे पक्ष के ऐप के लिए टच आईडी का उपयोग करते हैं, तो यह स्थानीय रूप से आपकी पहुंच को अधिकृत करेगा और ऐप आपके फिंगरप्रिंट डेटा को नहीं देखेगा, केवल यह कि आपके आईफोन ने इसे अधिकृत किया है।

मैं व्यक्तिगत रूप से अपने PayPal ऐप के साथ-साथ कुछ अन्य भरोसेमंद सेवाओं के लिए टच आईडी का उपयोग करता हूं।

(यदि आप चिंतित हैं, तो शायद आप उन कंपनियों के लिए इसका उपयोग न करें, जिन पर आप पूरी तरह से भरोसा नहीं करते हैं - भले ही यह आपके टच आईडी डेटा को देखने के लिए शारीरिक रूप से असंभव हो।)