Implementare un passcode per autenticare gli utenti delle app [duplicate]

Non devi fare nulla di speciale qui.

È sufficiente memorizzare il token localmente nell'archivio dell'app.

Vale la pena considerare la scadenza del token periodico che richiede un'autenticazione più completa tramite token SMS, token e-mail o nome utente e password.

Posa e domanda intrigante, anche se non c'è una risposta per questo suppongo che potrei aiutarti a darti alcuni suggerimenti come spunto di riflessione.

1, utilizzare i serial hardware? So che questo non è sempre possibile su certe piante, ma ho pensato di parlarne.

2, UUID, usa questo e il tuo ID che generi, crittografalo nel database (o cancellalo) se crei un alogiro sufficiente puoi creare il tuo token basato sull'UUID e inviarlo tramite una connessione sicura .

3, numero di telefono, utilizzando una combinazione di UUID e il numero di telefono del dispositivo, puoi creare un bel ID sicuro.

Da quello che posso dire stai provando ad usare un metodo molto standard che non è lontano dall'uso di un nome utente / password normale, l'unica differenza qui è che stai cercando di creare il nome utente per loro. nella maggior parte dei casi le persone possono facilmente trovare un nome utente e provare a forzarlo, anche se dovresti sempre usare un IP fail2ban.

C'è una serie infinita di potenziali soluzioni a questo, suppongo che dipenda solo dai dati che stai cercando di proteggere e da come stai trasferendo / memorizzando le informazioni.

Quindi hai bisogno di un segreto condiviso che è unico per il dispositivo. Che dire delle impronte digitali del dispositivo? cioè calcolare un hash basato sulla configuurazione hardware del dispositivo. Questi sono considerati robusti e affidabili per i dispositivi in cui l'hardware non è sostituibile a caldo. In effetti, HSM e il software CA lo utilizzano come parte della resistenza alla manomissione.

Effettuare il googling delle "impronte digitali dei dispositivi mobili" fornisce una serie di risultati interessanti. In particolare questo documento accademico ha catturato la mia attenzione . Dall'astratto:

We demonstrate how the multitude of sensors on a smartphone can be used to construct a reliable hardware fingerprint of the phone. Such a fingerprint can be used to de-anonymize mobile devices as they connect to web sites, and as a second factor in identifying legitimate users to a remote server. We present two implementations: one based on analyzing the frequency response of the speakerphone-microphone system, and another based on analyzing device-specific accelerometer calibration errors. Our accelerometer-based fingerprint is especially interesting because the accelerometer is accessible via JavaScript running in a mobile web browser without requesting any permissions or notifying the user.