我正在研究欺诈用例。在欺诈者要在银行应用程序(用户名/密码)上窃取您的银行登录信息,然后该应用程序要求使用TouchID生物识别进行第二因素身份验证的情况下,该应用程序不会测试FRAUDSTER的指纹并说“是的,让他通过“?根据我的理解,银行用户名/密码并不与TouchID上的指纹本身相关联,因此从理论上讲,如果有人窃取了您的用户名和密码,那将是一场游戏,因为TouchID只会根据他设置的任何TouchID来对欺诈者进行身份验证。
我可能无法正确理解,但是TouchID仅在“证明您是最初设置TouchID的设备的所有者”的情况下才有用。因此,在银行应用程序中询问TouchID有点多余,因为该银行应用程序不是在询问特定用户的指纹,而是让最终用户证明是,尝试登录此应用程序的人与该人是同一个人是谁最初在手机中设置了TouchID。因此,它仅涵盖欺诈者盗窃了您的设备并试图登录该应用程序的情况。但是,如果欺诈者正在使用他/她自己的设备使用被盗的用户名/密码凭据登录应用程序,则TouchID只会让他/她顺利通过,在这种情况下,TouchID检查实际上是没有意义的。
我正确吗?