Stiamo lavorando allo sviluppo di un'applicazione bancaria e per i clienti. Dobbiamo implementare TouchID in iOS di Apple e un controllo delle impronte digitali in Android.
In primo luogo, quali sono i possibili rischi per la sicurezza e le considerazioni relative a questa tecnologia? In secondo luogo, come posso proteggere l'app / utilizzare le tecnologie in modo sicuro?
Il problema è che il server non può memorizzare un hash dell'impronta digitale, perché l'impronta digitale può venire con piccole variazioni che darebbero un hash completamente diverso. E se la tua impronta digitale è compromessa (o portandola su un oggetto che hai toccato o direttamente dal server) puoi difficilmente cambiarla - ok puoi usare fino a dieci dita.
Ma un'impronta digitale può essere un modo corretto per sbloccare una chiave privata, perché si avvicina a un'autenticazione 2FA: qualcosa che hai (la chiave privata) e qualcosa che sei (l'impronta digitale). E in caso di compromissione, puoi sempre revocare la chiave. Ciò significa che per utilizzare in modo sicuro l'impronta digitale per l'autenticazione, è necessario combinarlo con i certificati X509.
Il rischio dipende in gran parte dal tipo di lettore di impronte digitali che hai sul tuo telefono / laptop, oltre a qualsiasi considerazione sul software.
Secondo questo articolo, lo scanner di impronte digitali più semplice può essere ingannato solo con un'immagine delle impronte digitali, la più avanzata che richiede qualcosa come la stampa 3D delle impronte digitali con alta precisione.
Indipendentemente dalla sicurezza che applicherete al dispositivo, tenete presente che il tipo di scanner che verrà utilizzato dal vostro cliente avrà un impatto significativo sul fatto che tale tipo di autenticazione sia sicuro o meno.
Per TouchID, l'impronta digitale non lascia il telefono (come affermato da Apple quando ha introdotto touchID).
L'API ha chiamato LocalAuthentication ed è relativamente semplice: link
Questo tutorial è anche ben spiegato: link
Come affermato dagli altri, il problema risiede nel fatto che non è possibile modificare l'impronta digitale e che anche la verifica non è esatta. Inoltre, il fatto che non puoi cambiare la tua impronta digitale può essere un problema di privacy.
Aggiungendo alle altre risposte: Non fidarti mai dei client. se l'autenticazione delle impronte digitali viene eseguita sul dispositivo, ricorda che chiunque può utilizzare un dispositivo root o personalizzato che emula un falso lettore di impronte digitali che corrisponde sempre tutto.
Leggi altre domande sui tag authentication ios android secure-coding fingerprint