security - 在 KeyChain 与 Keychain+Biometrics 中保护用户机密
问题描述
在本机应用程序中保护用户机密的常用方法似乎是将机密存储在钥匙串中,并通过生物识别/touchId/FaceID 添加额外的保护层。
我的问题:
添加额外的保护层(生物识别)是否会使您的应用程序更加安全?如果攻击者能够使用您用于保护应用程序的相同生物识别技术解锁您的手机,您获得了什么优势?
对于要保护钥匙串中的用户数据但不使用生物识别作为第二个额外因素的应用程序,您对哪些攻击向量持开放态度?
一些应用程序,也使用 4 位数的 PIN 输入来替代生物识别,这不是安慰剂吗?即,应用程序的大部分安全性来自于应用程序依赖于一个操作系统,该操作系统为这个应用程序提供钥匙串和安全机制,并且只有这个应用程序来检索它的秘密。添加一个 4 位数的密码来散列你的秘密,然后将它们保护在钥匙串中是什么?
解决方案
推荐阅读
- javascript - 如何在 html 中添加更多值选项?
- image - Aurelia 或 Webpack 未按时绑定图像
- html - 如何检测用户何时停止滚动 - Angular 5
- featuretools - 如何使用来自多个特征/列的值组合创建有趣的值
- javascript - 按行而不是字符截断段落
- active-directory - 如何将 OpenLDAP 与多个 AD 链接
- python - Python类方法:对象没有属性+对象不可下标
- java - 在 Tomcat 的访问日志中记录 HAProxy 特定的密码
- c++ - 为加载了高度图的地形创建 UV 坐标?
- r-markdown - rmarkdown用html,如何引用数字?