Autenticación de Face ID

La guía de seguridad de la plataforma de Apple dice justo debajo del texto que citas que las claves ECC se almacenan en el Secure Enclave y ese ítem único es utilizado por la llamada SDK/API para firmar la solicitud única que se envía en lugar de tu nombre de usuario / contraseña para validar un evento biométrico exitoso utilizando Face ID.

El Secure Enclave verifica que ocurrió una autorización biométrica y luego libera las claves ECC utilizadas para firmar la solicitud almacenada.

Existen API más antiguas que hacen algo similar, pero aquí está la API actual y si tu banco construye usando la última API y de otra manera hizo un buen trabajo asegurando sus servidores para validar correctamente la solicitud firmada desde su aplicación, deberías estar seguro.

Apple maneja toda la generación y manipulación de claves y el desarrollador de la aplicación solo necesita almacenar correctamente un valor binario. Así que el desarrollador necesita configurar "is signed in" como falso y luego llamar a la API para la solicitud biométrica (la misma API activa Touch ID y Face ID) y respetar si eso devuelve verdadero o falso.

Aquí tienes la mejor introducción que he visto. Es un video de 10 minutos de una WWDC reciente. Es sobre cómo usar Face ID con un sitio web, pero todo es general y se aplica a aplicaciones construidas usando un SDK/API similar.