Tangem Wallet продолжает совершенствоваться. Теперь в приложение кошелька можно зайти с использованием биометрической аутентификации, без прикладывания карты к телефону и ввода пароля. Достаточно прижать палец к сканеру отпечатка или посмотреть в камеру вашего смартфона, если он поддерживает функцию Face ID.
С внедрением функции биометрической аутентификации приложение Tangem стало еще более удобным, в нем появились новые возможности. А у вас может появиться вопрос о безопасности ваших биометрических данных. Об этом и поговорим.
Какие возможности появились в приложении Tangem
В приложении Tangem появились «Настройки приложения», где по умолчанию активированы опции «Сохранение кошелька» и «Сохранение кода доступа». Это означает, что:
- все кошельки Tangem (если у вас их несколько) будут привязываться к приложению, а приложение открываться с помощью биометрии;
- все пароли от карт будут храниться на вашем смартфоне в изолированной защищенной зоне процессора в зашифрованном виде, а при работе с картами вместо пароля будет запрашиваться биометрическая аутентификация — палец или лицо.
Если вы хотите работать с кошельком по старинке, эти опции можно деактивировать.
Итого, после обновления без прикладывания карты к телефону и ввода пароля можно:
- входить в приложение Tangem;
- просматривать балансы монет и токенов;
- переключаться между кошельками, если их у вас несколько.
Дополнительные кошельки можно добавить в приложение Tangem самостоятельно.
Либо они будут добавляться автоматически. Если приложение Tangem запомнило только один ваш кошелек, а всего у вас их несколько, то при прикладывании к NFC телефона нового кошелька нужно будет ввести пароль, после чего новый кошелек автоматически привяжется к приложению. При этом доступ к первому кошелку будет заблокирован. Его, при желании, можно разблокировать с помощью биометрии.
Внимание! Для того чтобы провести любую транзакцию, ее по-прежнему нужно подписать картой Tangem.
Почему вход по биометрии — это абсолютно безопасно
Мобильные приложения, в частности приложение Tangem, могут использовать системные интерфейсы смартфонов для организации биометрической аутентификации с помощью сканирования отпечатка пальца или распознавания лица.
Важно! Приложение Tangem, как и любое другое, может считать исключительно статус аутентификации — и НЕ может получить доступ к вашим биометрическим данным.
Сегодня безопасность биометрии находится на высоком уровне, как в Android от Google, так и в iOS от Apple. Технологии обеспечения безопасности биометрических данных у них схожи, но есть некоторые отличия.
Безопасность биометрических данных на iOS-устройствах
В смартфонах на iOS ваши биометрические данные недоступны основной операционной системе, для их изоляции используется Secure Enclave.
Secure Enclave — защитная подсистема, изолированная от основного процессора с целью обеспечения дополнительной защиты конфиденциальных данных пользователя. Обеспечивает безопасность хранения информации даже в том случае, когда основное ядро было скомпрометировано.
В целях обеспечения максимальной изоляции сопроцессор Secure Enclave используется исключительно подсистемой Secure Enclave. Также он самостоятельно загружается и обновляется, а его память зашифрована уникальным ключом, который присваивается при изготовлении устройства.
Кроме того, ваша биометрия хранится в виде хеша, из которого невозможно извлечь исходные данные, и она не попадает ни в iCloud, ни на сервера компании Apple.
Touch ID
Модуль Touch ID непосредственно связан с «железом» и ПО вашего смартфона. При производстве устройств каждый модуль настраивается для работы с конкретным iPhone.
Также для дополнительной защиты Apple ограничивает эффективное время действия сканера отпечатков пальцев:
- до 48 часов, если за это время телефон ни разу не разблокировали;
- до 8 часов, если за последние 6 дней до этого пользователь ни разу не вводил свой пароль.
Кроме того, если вы отключали или перезагружали ваш iPhone, то при первом входе он запросит пароль, так же, как и при сохранении нового отпечатка пальца.
Face ID
Для распознавания лица при помощи функции Face ID используется камера TrueDepth, а также технологии машинного обучения.
Биометрические данные, в частности математическое представление лица, шифруются и защищаются ключом, доступ к которому имеет только модуль Secure Enclave.
В процессе распознавания лица Face ID использует данные о его структуре, которые невозможно получить с фотографии. Также ваши глаза должны быть открыты и смотреть в камеру, что исключает несанкционированную разблокировку устройства, к примеру, когда вы спите.
А пароль на вашем iPhone используется в качестве дополнительной меры защиты, если:
- вы выключали или перезапускали телефон;
- последний раз вы разблокировали устройство более чем 48 часов назад;
- с момента последней разблокировки iPhone при помощи пароля прошло более 6 дней и 4 часа после того, как вы последний раз использовали Face ID;
- на девайс поступила команда для удаленной блокировки;
- было совершено 5 неудачных попыток распознавания лица;
- вы запустили функцию “SOS” или начали выключать телефон.
А если вы потеряли iPhone или у вас его украли, всегда можно отметить его как пропавший в приложении «Локатор» и тем самым предотвратить попытки его разблокировки и использования Face ID.
Безопасность биометрических данных на смартфонах с ОС Android
На смартфонах с ОС Android функция входа по отпечатку пальца поддерживается начиная с версии 6.0.
В зависимости от типа сканера, он может располагаться на задней панели смартфона, сбоку или внизу дисплея.
Разработчикам и производителям смартфонов на базе Android Google выдвигает ряд условий, при несоблюдении которых устройство не будет сертифицировано. Главное требование — наличие в девайсе принудительного шифрования данных, а также:
- запрет хранить данные пользователя где-либо, кроме Trusted Execution Environment (TEE);
TEE — отдельная изолированная, защищенная зона процессора смартфона.
- после 5 неудачных попыток входа по биометрии обязательно наличие 30-секундных пауз после каждой новой попытки входа;
- добавление/удаление отпечатков пальцев должно подтверждаться вводом пароля пользователя или другим способом аутентификации.
Так же, как и в технологии Touch ID от Apple, ваши биометрические данные находятся на отдельном процессоре с собственной памятью и ОС (Trusty OS), они неизвестны Google, не синхронизируются между разными смартфонами, недоступны приложению Tangem и другим приложениям, хранятся только на смартфоне в изолированной защищенной зоне процессора.
Trusty OS — маленькая, но эффективная ОС, работающая в TEE.
При регистрации отпечатка пальца датчик считывает данные сканирования, а Trusty OS их анализирует внутри TEE, после чего создает:
- зашифрованный шаблон отпечатков пальцев;
- набор данных проверки.
Зашифрованный шаблон биометрии хранится в специальном контейнере на TEE или в зашифрованном хранилище смартфона. Эти данные получить практически невозможно, и даже если их получить, они бесполезны, так как расшифровать их нереально.
Итак, защита биометрических данных пользователей на Android выглядит следующим образом:
- ваша биометрия в изначальном виде нигде не сохраняется, после считывания устройством данных они хешируются, и полученный хеш помещается в TEE;
- сканер отпечатков и интерфейс расположены в TEE;
- ваша биометрия вне TEE недоступна;
- доступ к аппаратной части сканера вне TEE получить нельзя;
- Trustlet выдает результаты сканирования, но не данные о сканировании.
Trustlet — это приложение, которое работает на TEE, является несамостоятельным компонентом ПО, предназначено для одной задачи (в нашем случае работа с отпечатками) и не имеет ценности вне базового приложения, в контексте которого действует.
Схема же биометрической аутентификации выглядит так:
- вы открываете приложение Tangem;
- пытаетесь войти с помощью биометрии;
- на смартфоне запускается Trustlet;
- поверх текущего экрана появляется интерфейс считывания отпечатков;
- Trustlet сравнивает ваш отпечаток с тем, что был отсканирован при регистрации отпечатков, отправляет результаты проверки в приложение Tangem.
Авторизация успешно завершена.
Заключение
Apple и Google серьезно позаботились о безопасности биометрических данных своих клиентов. Биометрия хранится в специальных надежных, изолированных, защищенных подсистемах мобильных устройств и никому не разглашается. Поэтому вход в приложение Tangem с помощью биометрической аутентификации абсолютно безопасен.