我是Flutter和一般编程的初学者。
首先,我想知道是否可以通知某个应用程序的创建者或其后端服务其指纹已被注销并添加了新的指纹。
注意:不是目标是获取指纹数据,而是以一种或另一种方式唯一地识别人员。例如,假设某个应用程序要管理关闭时间为晚上9点的宿舍,并打算通过使用他们的设备位置以及本地网络上用于检查位置数据并询问指纹的服务来生成对每个在场人员的报告。身份验证,用户很可能会将其设备留给其他用户并注册他们的指纹,并允许他们提供身份验证并为宿舍创建不准确的报告。
对上述情况有什么建议吗?
答案 0 :(得分:0)
不直接支持“检测注销”。即使有,它也不会有用。
tldr; ,受设备秘密指纹或其他保护,来自任意不受控制的设备的访问权限,不能用来保证“拥有”密码的人设备存在。正是用户中遵守的数据治理法规(EULA,公司/宿舍政策等)和 trust ,包括报告违规行为,才允许设备对个人的声明。
在移动设备上,指纹验证实际上是每个设备的机密,而不是接受任何用于保护其他访问/秘密的已注册指纹。。< / p>
考虑:
不能通过应用程序直接访问 指纹,因此不能用作“用户ID”。
每个设备使用每个设备的专用密钥来加密和存储指纹信息。此信息无法从外部访问或上传。
请参阅适用于iOS的“安全区域”和适用于Android的“受信任的执行环境”。
每个设备可以为一个人注册多个指纹。这意味着可以添加来自不同人的多个指纹,并且无法确定差异。同样,一个人可以在多个设备上为另一个手指注册指纹。
指纹的编码是一种“单向”数据建模,它接受已注册的指纹。实际的指纹数据甚至在安全保存之前也会有所不同:只有将此模型应用于所应用的指纹图案才有用。
现在,如果有一个物理控制的设备/系统..
“物理控制”系统的一个示例可能是固定终端的使用,这些终端控制着单人进/出门(带有安全摄像机和/或物理护卫),人们只能在其中注册指纹。经过适当的ID验证后,在受信任人员的面前..这到底有多重要?当一个人爬上窗户时会发生什么?
让该应用对实时摄像头进行详细的面部/眼睛扫描,然后将其发送到受控服务器中以进行基于内部生物特征的验证可能是[draconian]的中途步骤。.我会说“谢谢”;-)
答案 1 :(得分:0)
在 iOS 上,如果某些东西受指纹或 faceID 保护,开发者可以设置一个选项,即只有在注册的指纹/面孔集不变时才能访问数据。因此,您可以发送用户放入钥匙串中的一次性代码,如果更改注册了指纹,则它消失了。现在如果我登记了我自己和我三个最好的伙伴的指纹,你就检测不到了。