Autentica l'utente in base all'identificatore del dispositivo mobile

3

Ho un ipotetico gioco mobile in cui i giocatori non hanno necessariamente bisogno di creare account per giocare. I loro dati sono ricavati da un identificatore di dispositivo come un identificatore pubblicitario (IDFA) o il identifierForVendor di Apple o ID Android

Per GDPR, ho bisogno di consentire a tutti gli utenti di scaricare i loro dati.

È sicuro usare l'ID come segreto di autenticazione per identificare univocamente un utente / dispositivo, o questi valori ID sono prevedibili / pubblicati da qualche parte e facili da spoofare?

    
posta ben 13.09.2018 - 18:37
fonte

2 risposte

1

Potresti eliminare e cancellare l'identificatore e memorizzare il risultato nel tuo database. Quando l'utente vuole i suoi dati, si esegue l'hashing e si salda l'ID, si effettua una ricerca sulle proprie tabelle e si recuperano i dati. Indovinare l'ID da un hash correttamente salato è quasi impossibile.

Sui telefoni Android, è possibile modificare l'ID Android sui telefoni rooted. Non so se questo è possibile su telefoni Apple.

    
risposta data 13.09.2018 - 20:24
fonte
1

Se riesci a ottenere l'ID del dispositivo, anche l'app dannosa

Pensaci in questo modo: vorresti che ogni altra app sul telefono del giocatore avesse la possibilità di inviare i dati a un hub centralizzato dove potrebbero quindi fare richieste web false al tuo gioco per conto di questo utente?

Ora, certo, la maggior parte delle app sul telefono dell'utente non lo fanno, ma vuoi veramente aprire quella porta?

Se desideri una autenticazione di sicurezza senza password e , probabilmente stai meglio con una soluzione standard ( Authy , forse Authentiq , ecc.).

    
risposta data 19.10.2018 - 01:44
fonte

Leggi altre domande sui tag