Esaminiamo i calcoli di controllo di accesso di base con i loro pro e contro relativi al tuo caso di furto del dispositivo:
Qualcosa che conosci
Riferendosi a password, passphrase, codici PIN, domande segrete.
Pro:
Può essere difficile per il ladro "crackare" questo fattore, specialmente se si applica una politica strong.
Puoi mitigare la preoccupazione di reimpostare la password tramite un'email utilizzando una sfida (ad esempio, una domanda segreta strong, forse basata su attività recenti) come passaggio obbligato per la reimpostazione della password.
per esempio:
Where did you make your recent payment? to whom?
Contro:
Questo è considerato il fattore più debole tra gli altri che citerò e, in caso di furto, sarà facilmente modificato senza il meccanismo sopra descritto.
Qualcosa che hai
Un token fisico che la tua applicazione può scansionare usando RFID, NFC, ecc.
Pro:
Fornisce un livello di sicurezza più elevato purché il token non sia vicino al dispositivo stesso
Contro:
Caro, forse eccessivo. Anche l'esperienza utente potrebbe essere pessima.
Qualcosa che sei
La biometria; impronta digitale, scansione dell'iride, analisi vocale, analisi comportamentale (autenticazione continua)
Pro:
Considerato il fattore più strong, lo standard del settore, la maggior parte dei dispositivi di oggi ha questo hardware che puoi utilizzare.
Contro:
L'autenticazione biometrica ha i suoi errori; rifiuto errato dell'utente e errore di accettazione di un'entità non autorizzata (ad esempio: immagine stampata, persona identica, ecc.)
TLDR:
puoi applicare un questionario segreto strong su operazioni sensibili (transazioni, richieste di reimpostazione della password, ecc.), puoi aggiungere un token fisico o verificare il client su operazioni sensibili basate su dati biometrici