苹果正在研究如何让多个用户受益于Touch ID或类似的生物识别系统,同时保持目前安全飞地保护功能。苹果公司的T2安全处理器内建一个安全飞地,该飞地存储着用户的生物识别数据。
无论该用户是解锁他们的Mac,还是进行购买,安全飞地都被要求确认用户的真实性。在不泄露任何存储数据的情况下,T2处理器可以确认或拒绝一个请求。因此,Mac或零售商有他们所需的确定性来继续,而用户的隐私不会受到影响。
这对个人用户来说非常有效,但当多人想要访问同一台Mac或其他系统来做不同的事情时,情况就变得复杂了。为一个用户解锁可能意味着让他们访问整台机器,而为另一个用户解锁则可能将他们限制在自己的用户账户和可能的功能子集。
这听起来似乎没有那么困难,但新披露的苹果专利申请 "在安全飞地中提供域以支持多个用户 "表明,安全飞地不仅仅是将指纹与之前存储的任何指纹进行比较,而且要处理这些访问级别存在复杂的问题。
因此,该专利申请不太关注生物识别数据的物理存储方式,也不关心有多少人的指纹可以被识别。它更多的是关于谁被允许做什么事情的问题。当启用群组加密时,向群组添加新成员可能需要由群组的现有成员明确提供授权。
苹果在专利申请当中表示,为了实现对数据处理系统的多用户访问,可以创建组密钥,这样通过系统上的组内成员(如管理员、用户等)可以实现对系统不同级别的访问。计算设备可以采用密码保护来保护存储在设备上的数据,计算设备可以使用保护机制防止未经授权访问存储数据,其中包括呈现一个登录屏幕,要求用户提供用户名/密码组合和/或数字或字母数字密码。
然而,如果数据是以未加密的方式存储的,那么在不知道用户名/密码或密码的情况下,仍然有可能获得存储在计算系统上的数据,恶意攻击者可能能够直接从内存中提取数据。如果攻击者对计算系统有物理访问权,攻击者可以从系统中移除一个或多个存储设备,并通过不同的系统访问这些设备。一个安全的飞地应该能解决这个问题,但它需要为多个合法用户提供方便,同时也要让未经授权的用户无法使用。因此,Mac或其他设备应该为合适的人快速解锁,但不能让试图强行进入的人解锁。
苹果表示,安全处理器包括用于跟踪多种认证类型中每一种认证失败连续尝试的内存。随着每次尝试的进行,苹果建议是让用户在再次尝试之前等待越来越长的时间。安全处理器还被配置为响应于与接收一组凭证相关联用户帐户已经超过连续尝试的次数,将请求的身份验证延迟一段时间。
(举报)
