Usos de Face ID y Touch ID
Desbloquear el dispositivo o la cuenta de un usuario
Si Face ID o Touch ID están desactivados, al momento en el que un dispositivo o cuenta se bloquea, se descartan las claves de la clase de protección de datos más alta, las cuales se almacenan en el Secure Enclave. No se podrá acceder a los archivos y elementos del llavero de dicha clase hasta que el usuario desbloquee el dispositivo o la cuenta con su código o contraseña.
Con Face ID o Touch ID activados, cuando se bloquea el dispositivo o la cuenta, no se descartan las claves, sino que se encapsulan con una clave que se proporciona al subsistema de Face ID o Touch ID en el Secure Enclave. Durante un intento de desbloqueo del dispositivo o de la cuenta, si el dispositivo encuentra una coincidencia, proporcionará la clave para desencapsular las claves de protección de datos, y el dispositivo o la cuenta se desbloquearán. Para desbloquear el dispositivo, el proceso proporciona protección adicional al solicitar la cooperación entre la protección de datos y los subsistemas de Face ID o Touch ID.
Cuando el dispositivo se reinicia, las claves requeridas para que Face ID o Touch ID desbloqueen el dispositivo o la cuenta se pierden, pues el Secure Enclave las descarta después de que se cumple alguna condición que requiera ingresar el código o la contraseña.
Seguridad de las compras con Apple Pay
El usuario también puede usar Face ID y Touch ID con Apple Pay para realizar compras de manera fácil y segura en tiendas, apps y en la web:
Mediante Face ID en tiendas: para autorizar una compra dentro de una app con Face ID, el usuario primero debe presionar el botón lateral dos veces para confirmar que quiere realizar el pago. Esta presión doble captura la intención del usuario usando un gesto físico directamente relacionado con el Secure Enclave y es resistente a la falsificación por un proceso malicioso. A continuación, el usuario debe autenticarse usando Face ID antes de colocar el dispositivo cerca del lector de tarjetas sin contacto. Después de autenticarse con Face ID en Apple Pay, el usuario puede seleccionar un método distinto de pago; esto requerirá volver a autenticarse, pero el usuario no tendrá que volver a presionar dos veces el botón lateral.
Mediante Face ID en apps y en la web: para realizar un pago dentro de las apps y en Internet, el usuario debe presionar dos veces el botón lateral para confirmar su intención de pagar y debe autenticarse usando Face ID para autorizar el pago. Si la transacción de Apple Pay no se ha completado 60 segundos después de presionar dos veces el botón lateral, el usuario tendrá que volver a presionarlo dos veces para volver a confirmar que quiere realizar el pago.
Mediante Touch ID: en el caso de Touch ID, la intención de pagar se confirma usando el gesto de activación del sensor de Touch ID combinado con la coincidencia exitosa de la huella del usuario.
Usar API proporcionadas por el sistema
Las apps de terceros pueden usar las API proporcionadas por el sistema para solicitar al usuario que se autentique utilizando Face ID o Touch ID, un código o una contraseña. Además, las apps compatibles con Touch ID automáticamente admiten Face ID sin necesidad de modificaciones. Cuando se usa Face ID o Touch ID, a la app sólo se le informa si la autenticación se realizó correctamente o no, pero no se le proporciona acceso a Face ID, Touch ID o los datos asociados con el registro del usuario.
Protección de los elementos del llavero
Los elementos del llavero también se pueden proteger con Face ID o Touch ID, de modo que el Secure Enclave sólo los pueda desbloquear cuando hay una coincidencia correcta o mediante el código del dispositivo o la contraseña de la cuenta. Los desarrolladores de apps tienen API a su disposición para verificar que el usuario ha establecido un código o una contraseña antes de requerir Face ID, Touch ID, un código o una contraseña para desbloquear los elementos del llavero. Los desarrolladores de apps pueden hacer lo siguiente:
Requerir que las operaciones API de autenticación no recurran a las alternativas de utilizar la contraseña de una app o el código del dispositivo. Consultar si un usuario está registrado, lo que permite que se utilice Face ID o Touch ID como un segundo factor en apps en las que la seguridad es muy importante.
Generar o usar claves de criptografía de curva elíptica (ECC) dentro del Secure Enclave que pueden protegerse mediante Face ID o Touch ID. Las operaciones que usan estas claves siempre se realizan dentro del Secure Enclave después de que se autoriza su uso.
Realizar y aprobar compras
Los usuarios también pueden configurar Face ID o Touch ID para aprobar compras de iTunes Store, App Store, Apple Books y más, de modo que no tengan que ingresar su contraseña del Apple ID. Cuando se realizan compras, el Secure Enclave verifica que se haya producido una autorización biométrica y luego libera las claves ECC utilizadas para firmar la solicitud de la tienda.