1年前、PayPalのCISOマイケル・バレット氏は、パスワードに基づく既存の認証方法の終焉を予言し、当時発売前だったiPhone 5sがパスワードを完全に廃止するだろうと期待を表明しました。しかし、AppleはiPhone 5sの指紋スキャナーをiTunesでの購入とロック画面でのユーザー認証に限定しました。
しかし、iOS 8 SDKが正式にリリースされ、Appleは開発者向けにTouch IDを開放しました。そしてPayPalは、Touch ID認証をモバイルアプリに統合する取り組みを進めていることを公式に確認し、真っ先にその門戸を開きました…
BusinessInsiderは、eBayが所有する決済大手が、iOS 8の新しいTouch ID APIを使用して、簡単な指紋スキャンでユーザーを認証し、支払いを確認することを計画していることをつかんだ。
匿名のPayPal関係者は同誌に次のように語った。
かなり使いやすい API のようですが、まだ試行錯誤中です。
Aite Group のシニアアナリスト、Thad Peterson 氏は、Touch ID をサードパーティに開放することは大きな進歩だと考えています。
「iPhoneで指紋認証を使ってPayPalが使えるようになれば、消費者にとって新たな価値が生まれます」。さらに、Appleは貴重な情報を収集することになるだろうとピーターソン氏は付け加える。「開発者に情報を提供するメリットはまさにそこです。何がうまくいくかを試すためのテストの場となるのです」
Touch ID API は、Apple の A7 プロセッサ上の Secure Enclave をタップすることでログインとユーザー データを保護します。Secure Enclave はデータを保護し、システムの他の部分から分離します。
iPhone 5s の指紋センサーと同様に、サードパーティ アプリで使用される指紋はデバイスから外に出ることはなく、クラウドと同期されることもありません。そして最も重要なのは、開発者が以下の図に示す Secure Enclave 内に保存されている指紋データにアクセスすることができないことです。
Appleは、Touch ID APIがユーザーの指紋をサードパーティのアプリに公開しないことを保証しています。
アプリが受け取るのは、マッチング成功の確認のみです。APIは、システムキーチェーンに保存されている、事前定義されたユーザーパスワードやその他の情報のロックを解除します。
「アプリ内コンテンツの一部またはすべてにアクセスする前に、Touch IDを使用してユーザーを認証できるようになりました」と、同社は開発者向けポータルで述べています。「指紋データは保護されており、iOSや他のアプリによってアクセスされることはありません。」
新しいローカル認証フレームワークを使用するアプリは、まず、ユーザーが認証する理由についてアプリケーションが指定した理由を含むアラートをユーザーに表示します。
「アプリが応答を受け取ると、ユーザーが正常に認証できたかどうかに基づいて反応することができます」とAppleは説明し、開発者はTouch ID認証に基づいてアプリがどのようなアクションを実行するかを明確に説明する必要があると付け加えています。
iTunes での購入や Touch ID によるデバイスのロック解除と同様に、サードパーティ製アプリの Touch ID 機能は、Apple が昨年概説したのと同じ原則に準拠しています。
念のためお伝えしますが、これはAppleが複雑な数学モデルを用いてスキャンデータから指紋プロファイルを導出していることを意味します。指紋の実際の画像は一切保存されません。さらに、指紋プロファイルは暗号化され、A7プロセッサのSecure Enclave領域に保存され、Touch IDセンサーのみがアクセスできます。
さらに、Apple のサーバーに転送されたり、いかなるネットワークとも同期されることはありません。
PayPal アプリは App Store から無料で入手できます。
