Questa domanda è relativa a questo .
Siamo impegnati nell'implementazione dell'autenticazione del codice di accesso a 5 cifre per la nostra app (Android, iPhone), ma ci stiamo imbattendo in una complessità. Non siamo sicuri di come possiamo identificare in sicurezza il dispositivo da cui l'app effettua la richiesta. Possiamo inviare e registrare l'id del dispositivo (UUID) con l'utente, ma quell'id non è un segreto, quindi chiunque sappia che l'UUID potrebbe tentare di autenticarsi con il server utilizzando il passcode.
La risposta nella domanda correlata menziona questo: "Durante la registrazione del dispositivo, l'applicazione sul dispositivo (sia esso un telefono o un laptop) genera un valore segreto e lo invia alla banca, ma lo memorizza."
Sembra ragionevole, ma come possiamo memorizzare quel valore segreto sul telefono? Potremmo usare Local Storage, ma quanto è sicuro? È sufficiente?
Un altro modo sarebbe quello di impostare un cookie (persistente) al momento della registrazione del passcode. Ma non sono sicuro di quanto sia sicuro.
Vedo questo sistema implementato in molte app, ma non ci sono molte informazioni sul web.