苹果公司评估为多个用户扩展安全区域保护

苹果公司正在研究允许多个用户从Touch ID或类似的生物识别系统中受益的同时，保持对当前安全区域的保护。

苹果公司的T2安全处理器基于一个安全的飞地，该飞地存储有关用户的生物识别数据。无论该用户是解锁Mac还是进行购买，都要求安全区域确认自己是谁。

在不泄露任何存储数据的情况下，T2处理器可以确认或拒绝请求。因此，Mac或零售商可以确定他们需要继续进行操作，而不会损害用户的隐私。

这对于单个用户来说效果很好，但是当多个人想要访问同一台Mac或其他系统来做不同的事情时，它将变得更加复杂。为一个用户解锁可能意味着让他们访问整个计算机，而为另一个用户解锁可能会将他们限制为他们自己的用户帐户和一部分可能的功能。

听起来似乎并没有那么困难，但是最近公布的专利申请“安全区域中的域供应以支持多个用户”表明确实如此。不仅是安全区域将指纹与以前存储的指纹进行比较，还存在着围绕这些访问级别的复杂问题。

因此，该专利申请较少关注如何物理存储生物统计数据，或者关注多少个不同的人可以识别其指纹。更多的是关于允许谁做某事的问题。它说：“启用组加密后，将新成员添加到组中可能需要由该组的现有成员显式提供授权。”

“为了允许多用户访问数据处理系统，可以创建组密钥，以便通过系统上组中的成员身份(例如，管理员，用户等)可以启用对系统的不同级别的访问，”苹果继续。

仅拥有一个告诉人们的密码会更容易，但这不会带来任何与Apple认为必需的安全级别相近的东西。

专利申请说：“计算设备可以采用密码保护来保护存储在设备上的数据。” “计算设备可以使用保护机制来防止未授权访问存储的数据，包括提供要求用户提供用户名/密码组合和/或数字或字母数字密码的登录屏幕。”

苹果继续说：“但是，如果数据是以未加密的方式存储的，那么仍然有可能在不知道用户名/密码或密码的情况下访问存储在计算系统上的数据。” “恶意攻击者可能能够直接从内存中提取数据。如果攻击者可以物理访问计算系统，则攻击者可以从系统中删除一个或多个存储设备，并通过另一个系统访问这些设备。”

一个安全的飞地应该可以解决此问题，但是对于多个合法用户而言，它应该很方便，而对于未经授权的用户，则不可能。因此，Mac或其他设备应该为合适的人快速解锁，但任何试图强行闯入的人都不要解锁。

苹果公司表示：“安全处理器包括用于跟踪多种身份验证类型中每一种的连续失败身份验证尝试次数的内存。” 每次尝