Estamos trabajando en el desarrollo de una aplicación bancaria y para clientes. Necesitamos implementar TouchID en iOS de Apple y una verificación de huellas dactilares en Android.
En primer lugar, ¿cuáles son los posibles riesgos y consideraciones de seguridad relacionados con esta tecnología? En segundo lugar, ¿cómo puedo asegurar la aplicación / usar las tecnologías de manera segura?
El problema es que el servidor no puede almacenar un hash de la huella dactilar, porque la huella dactilar puede venir con ligeras variaciones que darían un hash completamente diferente. Y si su huella digital se ve comprometida (ya sea tomándola en un objeto que ha tocado o directamente desde el servidor), casi no puede cambiarla, está bien, puede usar hasta diez dedos.
Pero una huella digital puede ser una forma correcta de desbloquear una clave privada, ya que se acerca a una autenticación 2FA: algo que tienes (la clave privada) y algo que eres (la huella digital). Y en caso de compromiso, siempre puedes revocar la llave. Eso significa que para usar la huella digital de forma segura para la autenticación, debe combinarla con los certificados X509.
El riesgo depende en gran medida del tipo de lector de huellas digitales que tenga en su teléfono / computadora portátil, además de cualquier consideración de software.
De acuerdo con ese artículo, el escáner de huellas digitales más básico se puede engañar solo con una imagen de sus huellas digitales, la más avanzada que requiere algo como la impresión 3D de su huella digital con alta precisión.
Independientemente de la seguridad que ponga en su dispositivo, tenga en cuenta que el tipo de escáner que usará su cliente tendrá un gran impacto en la seguridad de ese tipo de autenticación.
Para TouchID, la huella dactilar no abandona el teléfono (como lo indicó Apple cuando introdujeron el touchID).
La API se llama Autenticación local y es relativamente sencilla: enlace
Este tutorial también está bien explicado: enlace
Como lo indicaron los demás, el problema reside en el hecho de que no puede cambiar su huella digital y que la verificación tampoco es exacta. Además, el hecho de que no pueda cambiar su huella digital puede ser un problema de privacidad.
Agregando a las otras respuestas: Nunca confíe en los clientes. si la autenticación de huellas digitales se realiza en el dispositivo, recuerde que cualquier persona puede usar un dispositivo rooteado o personalizado que emule un lector de huellas digitales falso que siempre coincida todo.
Lea otras preguntas en las etiquetas authentication android secure-coding ios fingerprint