Touch ID es el nombre del sensor de huellas dactilares para la identificación personal de Apple. Es lo que actualmente te permite autenticarse para desbloquear tu iPhone 5s y autorizar a iTunes y a la App Store para realizar compras en tu cuenta.
Con iOS 8, Apple ha desarrollado una interfaz de programación de aplicaciones (API) disponible para los desarrolladores, así que todo, desde el gestor de contraseñas para el servicio de banca a bóveda foto privada puede ser a la vez segura y conveniente. Pero ¿cómo va a trabajar?
Funcionamiento
Cuando se pone el dedo en el Touch ID, el anillo de metal que lo rodea detecta la capacitancia y se activa el sensor. Se realiza una foto de alta resolución de la huella digital que se convierte en una representación matemática, y es enviada a través de una conexión cableada al enclave seguro chip A7. Si los datos no coincide, un «no» token se libera y hay que volver a intentarlo, o introducir una contraseña. Si los datos coincide, el token «sí» se libera autorizado el desbloqueo o las compras.
Este sistema entró en funcionamiento en 2013 con iOS 7 y el iPhone 5s. En ese momento no se lanzó una API para los desarrolladores, el uso de las características del Touch ID estaban restringidas al uso de Apple. Se especula que Apple no había tenido tiempo de construir un entorno seguro para liberar esta función.
En 2014 y con iOS 8 se establece la seguridad en un llavero y en un nuevo marco denominado LocalAuthentication. Este llavero es una base de datos segura de Apple para las contraseñas que comenzó a usarse en Mac hasta extenderse a iOS y iCloud. En iOS 8, es el llavero del que recibe el token de «sí» o «no» y es también el llavero el que ofrece o retiene las credenciales a las aplicaciones.
Touch ID para desarrolladores
Con iOS 8, Apple está introduciendo listas de control de punto de acceso (ACL) para la accesibilidad y la autenticación. Con ellos, los desarrolladores pueden establecer cuándo un elemento de llavero está disponible, así como lo que sucede cuando se tiene acceso.
La accesibilidad es la misma para Touch ID como lo es para el código de acceso, siempre y cuando el dispositivo este desbloqueado. La autenticación es nueva y requiere unas reglas para determinar qué condiciones deben cumplirse para que el llavero proporciona información a la aplicación.
Touch ID tiene preferencia sobre el código de acceso, cuando esté disponible, debido a que es más rápido y fácil que acceder con una cadena de números o caracteres alfanuméricos.
Los desarrolladores y sus aplicaciones también heredan el mismo sistema de seguridad para el Touch ID, que implica que:
- si Touch ID no autentica después de cuatro intentos,
- si el dispositivo se reinicia, o
- si Touch ID no se utiliza en el 48 horas,
Entonces el enclave seguro será desactivado y será necesario el código de acceso para volver a habilitarlo.
Para alinearse con la nueva API, Apple está proporcionando una nueva interfaz para manejar las transacciones mediante Touch ID en las aplicaciones de la App Store. Apple presentará el nombre de la aplicación en un cuadro de diálogo de la interfaz, por lo que siempre se sabrá quién está solicitando la autenticación, a los desarrolladores se les está animando a agregar una cadena de texto adicional que explique por qué están pidiendo la autenticación.
Por otro lado también se anima a los desarrolladores a no consultar con demasiada frecuencia, para lo que Apple también está ofreciendo un «modo de no autenticación» para que los desarrolladores pueden suprimir la interfaz y simplemente informar de que, si quieren comprar realmente estos artículos, será necesario la autenticación.
Extensiones
Además de aplicaciones, Touch ID también puede integrarse en las extensiones. Así, por ejemplo, una aplicación de administrador de contraseñas puede usar Touch ID para autenticar antes de mostrar las contraseñas dentro de su propia aplicación.
Una extensión que administre contraseñas, como 1Password, podría ser llamada desde dentro de Safari y permitir a Touch ID que autentique, por lo que la extensión puede llenar automáticamente los campos de contraseña.
Seguridad de la API de Touch ID
La interfaz táctil es propiedad y está controlada por iOS, no por la aplicación de App Store que lo controla. Sólo después de la autenticación, se puede recuperar el control.
Además, por razones de seguridad, Apple y iCloud no respaldan elementos protegidos ACL, y no se sincronizan ellos entre los dispositivos. En otras palabras, los datos nunca estarán en Internet o en los servidores de alguien, incluido Apple.
Los desarrolladores tampoco podrán acceder a tus datos de huellas digitales mediante sus aplicaciones. Todo permanece escondido de forma segura en el enclave seguro.
