在本机应用程序中保护用户机密的常用方法似乎是将机密存储在钥匙串中,并通过生物识别/touchId/FaceID 添加额外的保护层。
我的问题:
添加额外的保护层(生物识别)是否会使您的应用程序更加安全?如果攻击者能够使用您用于保护应用程序的相同生物识别技术解锁您的手机,您获得了什么优势?
对于要保护钥匙串中的用户数据但不使用生物识别作为第二个额外因素的应用程序,您对哪些攻击向量持开放态度?
一些应用程序,也使用 4 位数的 PIN 输入来替代生物识别,这不是安慰剂吗?即,应用程序的大部分安全性来自于应用程序依赖于一个操作系统,该操作系统为这个应用程序提供钥匙串和安全机制,并且只有这个应用程序来检索它的秘密。添加一个 4 位数的密码来散列你的秘密,然后将它们保护在钥匙串中是什么?