Attualmente nel mezzo di un processo piuttosto lungo di decidere l'uso di TouchID all'interno di un'applicazione sviluppata a causa di problemi di sicurezza, e si chiedeva se qualcuno avesse qualche consiglio?
L'idea dal punto di vista del prodotto è che un utente può registrarsi con l'applicazione con un nome utente / password (flusso standard di bog in caso di ripiego per dispositivi senza ID touch) e successivamente in una data successiva, se attivato tramite le preferenze in-app, utilizzare il sistema TouchID per "accedere" all'applicazione invece di digitare nuovamente un nome utente / password.
La mia preoccupazione è che questo in qualche modo significhi che dobbiamo memorizzare qualcosa sul dispositivo (recuperabile dopo il tocco riuscito) che può quindi autenticare l'utente e consentire l'accesso all'API (tramite token JWT, ma probabilmente non importa).
Questo va contro quasi tutto ciò che ho letto e coinvolto nello sviluppo di applicazioni mobili, che sta memorizzando qualcosa di sensibile sul dispositivo client che si sta aprendo a un vettore di attacco.
Tuttavia, molte applicazioni lo fanno già, quindi mi chiedo quale sarebbe un processo tipico per abilitare tale funzione?
L'app è sensibile per natura, ha qualche gestione delle informazioni personali che sarebbe male se trapelasse, se questo fa la differenza per l'approccio!
Grazie in anticipo