Настройка сложности ПИН-кода и поддержки биометрической аутентификации

Настройка сложности ПИН-кода на ключ аутентификации

Настройка сложности ПИН-кода на ключ аутентификации может быть выполнена на следующих уровнях:

  • глобальный (на уровне всего ЦИ, командлет Set-IdsMyDssProperties),
  • для одного мобильного приложения (на уровне MyDssSystem, командлет Set-IdsMobileAppConfiguration).

Настройки на сервере (Центр Идентификации)

Для изменения настроек требования кода подтверждения используются следующие настройки Центра Идентификации:

# Глобальный уровень
Set-IdsMyDssProperties -DisplayName <Имя экземпляра ЦИ> -PasswordPolicy <значение>

# Уровень мобильного приложения
Set-IdsMobileAppConfiguration -SystemId <GUID зарегистрированного мобильного приложения> -PasswordPolicy <значение>

Допустимы следующие значения параметра -PasswordPolicy:

  • NoPolicy (используется также по умолчанию) - требования не предъявляются,
  • Weak - минимум 6 символов,
  • Medium минимум 8 символов, обязательно должен содержать строчные и прописные буквы,
  • Strong - минимум 8 символов, обязательно должен содержать строчные и прописные буквы, а также цифры.
Примечание

Настройки, выполненные на уровне мобильного приложения (Set-IdsMobileAppConfiguration) переопределяют настройки, заданные на уровне ЦИ (Set-IdsMyDssProperties).

Настройки в Ключ SDK

Заданное на сервере значение параметра -PasswordPolicy будет получено в параметре passwordPolicy структурыDSSKeyProtectionFlags(iOS) / KeyProtectionFlags (Android) при запросе политики взаимодействия с сервером (iOS, Android). Соответствие заданных значений на сервере и в полученной политике:

  • NoPolicy - 0,
  • Weak - 1,
  • Medium - 2,
  • Strong - 3.
Примечание

Дополнительно мобильное приложение с Ключ SDK получает информацию о сложности ПИН-кода в составе данных о векторе аутентификации при регистрации (инициализации) устройства. В случае если переданное в методе инициализации значение DSSProtectionType/ProtectionType значение "ослабляет" требования к защите (например, предлагает не использовать пароль при настройках на сервере, отличных от NoPolicy, метод вернет ошибку.

Пример отображения настроек в мобильном приложении.

Примечание

В мобильном приложении КриптоПро Ключ при получении с сервера значения NoPolicy минимально допустимый ПИН-код является цифровым (для этого в Ключ SDK предусмотрен экран с пинпадом) и должен иметь длину 6 символов.

На изображениях ниже представлены варианты отображения диалогового окна с вводом пароля в зависимости от настроек сложности ПИН-кода на ключ аутентификации:

  • NoPolicy (слева) - позволяет ввести числовой пароль при помощи пинпада,
  • Weak (справа) - позволяет ввести пароль длиной не менее 6 символов.

Настройка возможности использования биометрических данных

Настройка возможности использования биометрических данных может быть выполнена на следующих уровнях:

  • глобальный (на уровне всего ЦИ, командлет Set-IdsMyDssProperties),
  • для одного мобильного приложения (на уровне MyDssSystem, командлет Set-IdsMobileAppConfiguration).

Настройки на сервере (Центр Идентификации)

# Глобальный уровень
Set-IdsMyDssProperties -DisplayName <Имя экземпляра ЦИ> -DenyOSProtection <1 или 0>

# Уровень мобильного приложения
Set-IdsMobileAppConfiguration -SystemId <GUID зарегистрированного мобильного приложения> -DenyOSProtection <1 или 0>

По умолчанию используется значение False, заданное на глобальном уровне.

Примечание

Настройки, выполненные на уровне мобильного приложения (Set-IdsMobileAppConfiguration) переопределяют настройки, заданные на уровне ЦИ (Set-IdsMyDssProperties).

Настройки в Ключ SDK

Заданное на сервере значение параметра -DenyOSProtection будет получено в параметре denyOSProtection структурыDSSKeyProtectionFlags(iOS) / KeyProtectionFlags (Android) при запросе политики взаимодействия с сервером (iOS, Android).

В дальнейшем мобильное приложение с Ключ SDK передает информацию об использовании/неиспользовании биометрической аутентификации в методах инициализации в параметре DSSProtectionType (iOS), ProtectionType (Android). В случае если на сервере параметр -DenyOSProtection имеет значение True, допускается в параметре DSSProtectionType/ProtectionType указать значение BIOMETRIC (см. также примечание ниже). В этом случае пользователю будет доступно использование и биометрии, и пароля при доступе к ключу аутентификации.

Примечание

Параметр DSSProtectionType/ProtectionType связан не только с настройками возможности использования биометрии, но и с настройкой сложности ПИН-кода на ключ аутентификации. Использовать значение BIOMETRIC возможно только в том случае, если в политике взаимодействия с сервером было получено значение passwordPolicy от 1 до 3.

Примечание

Дополнительно мобильное приложение с Ключ SDK получает информацию о возможности использования биометрии в составе данных о векторе аутентификации при регистрации (инициализации) устройства. В случае если переданное в DSSProtectionType/ProtectionType значение "ослабляет" требования к защите (например, разрешает использование биометрии при ее запрете на сервере либо предлагает использовать менее сложный пароль или его отсутствие), метод вернет ошибку.