蘋果公司評(píng)估為多個(gè)用戶擴(kuò)展安全區(qū)域保護(hù)

蘋果公司正在研究允許多個(gè)用戶從Touch ID或類似的生物識(shí)別系統(tǒng)中受益的同時(shí)，保持對(duì)當(dāng)前安全區(qū)域的保護(hù)。

蘋果公司的T2安全處理器基于一個(gè)安全的飛地，該飛地存儲(chǔ)有關(guān)用戶的生物識(shí)別數(shù)據(jù)。無(wú)論該用戶是解鎖Mac還是進(jìn)行購(gòu)買，都要求安全區(qū)域確認(rèn)自己是誰(shuí)。

在不泄露任何存儲(chǔ)數(shù)據(jù)的情況下，T2處理器可以確認(rèn)或拒絕請(qǐng)求。因此，Mac或零售商可以確定他們需要繼續(xù)進(jìn)行操作，而不會(huì)損害用戶的隱私。

這對(duì)于單個(gè)用戶來(lái)說效果很好，但是當(dāng)多個(gè)人想要訪問同一臺(tái)Mac或其他系統(tǒng)來(lái)做不同的事情時(shí)，它將變得更加復(fù)雜。為一個(gè)用戶解鎖可能意味著讓他們?cè)L問整個(gè)計(jì)算機(jī)，而為另一個(gè)用戶解鎖可能會(huì)將他們限制為他們自己的用戶帳戶和一部分可能的功能。

聽起來(lái)似乎并沒有那么困難，但是最近公布的專利申請(qǐng)“安全區(qū)域中的域供應(yīng)以支持多個(gè)用戶”表明確實(shí)如此。不僅是安全區(qū)域?qū)⒅讣y與以前存儲(chǔ)的指紋進(jìn)行比較，還存在著圍繞這些訪問級(jí)別的復(fù)雜問題。

因此，該專利申請(qǐng)較少關(guān)注如何物理存儲(chǔ)生物統(tǒng)計(jì)數(shù)據(jù)，或者關(guān)注多少個(gè)不同的人可以識(shí)別其指紋。更多的是關(guān)于允許誰(shuí)做某事的問題。它說：“啟用組加密后，將新成員添加到組中可能需要由該組的現(xiàn)有成員顯式提供授權(quán)。”

“為了允許多用戶訪問數(shù)據(jù)處理系統(tǒng)，可以創(chuàng)建組密鑰，以便通過系統(tǒng)上組中的成員身份(例如，管理員，用戶等)可以啟用對(duì)系統(tǒng)的不同級(jí)別的訪問，”蘋果繼續(xù)。

僅擁有一個(gè)告訴人們的密碼會(huì)更容易，但這不會(huì)帶來(lái)任何與Apple認(rèn)為必需的安全級(jí)別相近的東西。

專利申請(qǐng)說：“計(jì)算設(shè)備可以采用密碼保護(hù)來(lái)保護(hù)存儲(chǔ)在設(shè)備上的數(shù)據(jù)。” “計(jì)算設(shè)備可以使用保護(hù)機(jī)制來(lái)防止未授權(quán)訪問存儲(chǔ)的數(shù)據(jù)，包括提供要求用戶提供用戶名/密碼組合和/或數(shù)字或字母數(shù)字密碼的登錄屏幕。”

蘋果繼續(xù)說：“但是，如果數(shù)據(jù)是以未加密的方式存儲(chǔ)的，那么仍然有可能在不知道用戶名/密碼或密碼的情況下訪問存儲(chǔ)在計(jì)算系統(tǒng)上的數(shù)據(jù)。” “惡意攻擊者可能能夠直接從內(nèi)存中提取數(shù)據(jù)。如果攻擊者可以物理訪問計(jì)算系統(tǒng)，則攻擊者可以從系統(tǒng)中刪除一個(gè)或多個(gè)存儲(chǔ)設(shè)備，并通過另一個(gè)系統(tǒng)訪問這些設(shè)備。”

一個(gè)安全的飛地應(yīng)該可以解決此問題，但是對(duì)于多個(gè)合法用戶而言，它應(yīng)該很方便，而對(duì)于未經(jīng)授權(quán)的用戶，則不可能。因此，Mac或其他設(shè)備應(yīng)該為合適的人快速解鎖，但任何試圖強(qiáng)行闖入的人都不要解鎖。

蘋果公司表示：“安全處理器包括用于跟蹤多種身份驗(yàn)證類型中每一種的連續(xù)失敗身份驗(yàn)證嘗試次數(shù)的內(nèi)存。” 每次嘗