В них для доступа к устройству можно наряду с обычным цифровым паролем (passcode) использовать кнопку-считыватель отпечатка пальца. Перед этим обладатель аппарата, знающий правильный passcode, должен один раз зарегистрировать в системе отпечаток пальца, после чего может пользоваться им, не прибегая к passcode. Впрочем, для удобства iOS дает возможность зарегистрировать по одному passcode несколько отпечатков, причем не обязательно одного и того же человека. К примеру, это могут быть опечатки членов семьи или, в случае корпоративного применения, членов рабочей группы. Иными словами, отпечаток не всегда идентифицирует настоящего хозяина устройства или обладателя аккаунта iTunes.
А что если по отпечатку пальца будет санкционирована важная (допустим, денежная) транзакция? Пако Хоуп предупреждает разработчиков приложений для iOS не доверять слепо идентификации по отпечатку, поскольку в данном случае их может быть несколько и не все они соотносятся однозначно с одним конкретным пользователем. В отличие от снятия отпечатков на паспортном контроле или в посольстве, где оператор лично удостоверяет принадлежность отпечатка вполне определенному человеку.
С поддержкой отпечатков нескольких пальцев связана еще одна завуалированная засада. Если кто-то подсмотрел passcode и в тайне от хозяина устройства зарегистрировал на нем свой отпечаток, то хозяин не имеет никакой возможности проверить валидность введенных отпечатков. Если бы, как когда-то, идентификация ограничивалась только вводом passcode, и у хозяина были бы подозрения на утечку, он мог бы изменить свой passcode и закрыть доступ тем людям, которые подсмотрели старый passcode. В случае же с отпечатком все не так просто. При замене passcode регистрация уже введенных отпечатков не отменяется, и, если злоумышленник успел зарегистрировать свой отпечаток, ничто не помешает ему использовать его и после смены passcode.
Вот пример - сервис Сбербанк Онлайн. Там проведение операций нужно подтверждать разовыми паролями, приходящими на телефон по СМС. Безопасность повышается? Разумеется. Но и сложность вместе с ней: ручками нужно вбивать одноразовый пароль с риском допустить опечатку. Все это при работе на ПК.
Если же я использую приложение Сбербанк Онлайн на смартфоне, то там никакого одноразового пароля мне вводить не приходится. Это не значит, что его там нет. Просто он, по видимому, приходит на смартфон и автоматически вводится приложением в нужное поле незаметно для пользователя. Мне кажется, пример достойный подражания.
А что страшного, если ошиблись при вводе одноразового кода? Ввели повторно.
Так и пароль нужно вводить.
Я не пользуюсь мобильным банком, не знаю, как там. Но скорее всего там используется также двухфакторная авторизация: ваш телефон (это и есть одноразовый пароль) + логин-пароль.
Наверное, то же самое можно сделать при работе с ПК, если вы зарегистрируете свой ПК в систем (на уровне, скажем, номера сетевого адаптера). Кстати, такой вариант уже прорабатывается Центробанком.
Другой вариант - чтобы одноразовый пароль приходил к вам по почте. Тогда вы можете копировать одноразовый код в нужное поле. Кстати, вариант удобный, потому что не нужен смартфон (например, там кончились деньги).
Но, правда, есть вариант списка одноразовых паролей (в сбербанке их можно получить на чеке).
В общем, я, признаться, не вижу тут проблем...