知乎在令人失望这一点上从来没有令人失望过,问题的本质是认证和加密之间的区别。
认证是安全系统确认用户的身份和权限的过程,加密则是通过密钥和算法加密和解密数据。用户的密码(包括PIN码)可以作为凭据认证用户也可以用于派生密钥来加密,但是生物识别数据(指纹、人脸)只能用于认证不能用于加密,因为目前的生物识别技术是将传感器采集到的生物数据与预先录入的模板进行匹配,并不能从生物数据中派生出一段稳定的数据用于加密。
虽然在硬件加密的帮助下生物识别也是可以实现“加密”的(微软的 BitLocker + TPM 的实现就可以,解密磁盘甚至不需要额外认证),但无论如何生物识别数据本身不会作为加密密钥,只是作为认证方式让安全模块释放密钥。而即使是在硬件加密中,如果用户密码被用于加密密钥的派生,那安全性会更高。
苹果设备安全性有关的实现始终应该参考 Apple 平台安全保护文档:
苹果认为强用户密码可以更好地通过加密保护数据:
在较新的苹果设备(iOS设备和搭载Apple芯片的Mac)中,加密是通过数据保护实现的,而默认情况下,数据保护类是“首次用户认证前保护”
用户密码被用于派生密钥加密密钥:
.png)
因此开机之后必须要输入一次用户密码,然后才可以用生物识别解锁。
对关闭了 FileVault 的 Mac 设备,用户密码不参与到磁盘加密密钥派生的过程:
发布于 2024-06-05 17:33・IP 属地美国