Telegram implementa l'iscrizione / l'accesso con il numero di cellulare e una password di una sola volta a 5 cifre. Credo che il flusso sia qualcosa del genere:
- Prendi il numero di cellulare, genera un OTP, caricalo e invialo tramite SMS.
- Quando l'utente ha introdotto il TOTP, controlla se c'è un account con il numero di cellulare corrispondente, creandolo se necessario. L'utente è ora autenticato.
La mia domanda è, come è sicura come la registrazione / login "tradizionale" con una password fissa? Se dovessi implementare lo stesso flusso su una mia applicazione, a quali trappole dovrei fare attenzione? Come posso garantire che l'account di un utente non sia compromesso da tale flusso?