La soglia più bassa possibile per l'accesso all'app per smartphone

La sicurezza della password è un compromesso tra usabilità e sicurezza . Più una password è "complessa" (cioè difficile da indovinare per gli attaccanti), più difficile è per l'utente ricordarla e digitarla correttamente. Puoi provare a spostare l'equilibrio un po 'con alcuni trucchi, ma devi accettare che se qualcuno può usare il sistema senza armeggiare, allora le alcune password saranno indovinate.

Tra i possibili trucchi per rendere le password più sicure mantenendole utilizzabili, puoi provare quanto segue:

• Applica limitazioni rigorose sulla velocità di accesso. Per un determinato account utente, non devi accettare più di un tentativo di accesso per 10 secondi; eventualmente, aumenta questo ritardo dopo ogni errore (ma non bloccare l'account in modo permanente, altrimenti diventa troppo facile bloccare gli account di altre persone).

• Usa un "alfabeto" grafico. Una password non è altro che una sequenza di simboli, che l'utente ricorda e quindi "digita" premendo i pulsanti di destra sullo schermo dello smartphone. Lettere e cifre a portata di mano su un'abilità che la maggior parte degli utenti umani ha appreso durante anni di formazione, ovvero lettura . Tuttavia, gli umani sono bravi in altre cose che leggere. La tua app potrebbe visualizzare una "tastiera" con simboli colorati, che gli utenti usano come "lettere" per la loro password (quindi, ricordano la sequenza "gatto-aereo-torta-sedia-albero-albero-coniglio" invece di "u8n". ffi "). Con le immagini, gli utenti troveranno più facile creare una sorta di "storia" intorno alla loro password, che renderà più facile la loro memorizzazione. (Aggiungi i colori, ma non li usi come discriminante, poiché ci sono persone daltoniche.)

• Connetti il dispositivo all'account. Ad esempio, in un contesto HTTPS, inserire un cookie casuale nel browser client. Quando l'utente torna, ma non mostra il cookie, applica regole di verifica più severe (ad esempio "domande di sicurezza" o semplicemente ritardi di accesso più lunghi). Ciò renderà la vita più difficile per gli attaccanti ma non per la maggior parte dei tuoi utenti (le persone che cambiano gli smartphone subiranno un ritardo maggiore, a meno che non utilizzino un qualche tipo di sincronizzazione per trasferire i loro cookie).

• Non esagerare. Dichiari che c'è poco valore nell'hacking di un account. Pertanto, non è necessaria una strong sicurezza. L'analisi del rischio è fondamentale: usa gli sforzi di protezione che sono proporzionati al valore di ciò che stai cercando di proteggere, ma non di più.

• Rendi gli utenti responsabili. Nel tuo caso, il tuo bene più prezioso è la tua reputazione; ciò che sarebbe più dannoso nel caso di un account di successo è l'idea che il tuo sistema sia "hackerabile". Pertanto, cerca di incolpare proattivamente l'utente: l'utente deve essere convinto che se il suo account viene violato, allora questo è il suo errore, non il tuo. Ciò avviene fornendo gli strumenti giusti: consente agli utenti di inserire password sicure e aggiungere un avviso visibile nella pagina di registrazione ("l'utente è responsabile della scelta di una password complessa, che non è facile indovina"). Questa non è una bella cosa da fare ai tuoi utenti, ma tutti lo fanno (a cominciare dalle compagnie assicurative: se non blocchi la portiera della tua auto, non sarai mai rimborsato per quello che ti è stato rubato auto).

• Offri un generatore di password non obbligatorio . Un semplice pulsante che l'utente può premere se decide di ottenere una password generata casualmente. Alcuni utenti lo useranno e questi, almeno, otterranno password complesse (e, soprattutto, password con una forza conosciuta ).

Se il tuo scopo è semplicemente quello di identificare lo stesso utente quando accedono più di una volta e la sicurezza non è una preoccupazione terribile, c'è un motivo per cui non puoi semplicemente usare l'ID del dispositivo? Non consentirebbe a qualcuno di accedere al proprio account da più di un dispositivo, ma ti consentirebbe di identificare univocamente un dispositivo. Potresti quindi avere un nome utente e una password per se qualcuno vuole utilizzare il proprio account su più di un dispositivo.

Usa la fotocamera del telefono per scattare una foto degli utenti e usarla per l'id. C'è un'app che fa questo, ma ho dimenticato il suo nome. Perché un utente deve effettuare l'accesso a tutti, perché non memorizzare tutti i dati richiesti dall'app localmente sul telefono?

EDIT: un'altra cosa che ho visto è usare le immagini, ad esempio scegliere 5 foto da un elenco di 10 per autenticare.

La cosa migliore è usare l'account di gioco che i sistemi moderni hanno. Ad esempio, Google Play Games e iOS Game Center. Questo è il metodo standard, l'utente deve semplicemente fare clic su Sì nella schermata di richiesta. I tuoi utenti hanno bisogno di un account di gioco / account Apple per scaricare i tuoi giochi dal Play Store / App store in ogni caso, quindi devono essere già registrati sul loro dispositivo, come per le persone che scaricano al di fuori del normale app store, beh non sono il tuo tipica nonna.

Se per qualche motivo non vuoi farlo, rendi la registrazione facoltativa e senza password. Quando l'utente decide di registrarsi, lascia che inseriscano l'e-mail e invii una chiave di conferma a quel messaggio e-mail, l'utente deve fare clic su quella chiave per la registrazione da completare. Quando l'utente configura un nuovo dispositivo, chiedigli la sua precedente e-mail e invia un'altra chiave di conferma per collegare il nuovo dispositivo all'account. Dietro le quinte, si emette un token univoco per ogni dispositivo collegato a tale dispositivo e account.