Sto cercando informazioni dettagliate sulla sicurezza in merito a quando disporre del PIN di un utente dell'applicazione mobile in alcuni scenari:
Sfondo: quando l'utente scarica e installa l'app mobile, gli viene chiesto di accedere con nome utente e password. Una volta completata l'autenticazione, viene richiesto di impostare un PIN per accedere più facilmente all'app durante la durata della sessione.
1) La sessione dell'app scade e l'utente deve reinserire il nome utente e la password per "riavviare" la sessione.
- Qui presumo di lasciare il PIN in posizione perché questa non era un'azione avviata dall'utente.
2) L'utente fa clic su "Esci" nell'app per terminare la sessione manualmente.
- Qui presumo che il PIN debba essere rimosso poiché si trattava di un'azione esplicita da parte dell'utente.
Capisco che questo possa essere considerato come "soggettivo", ma credo che ci dovrebbe essere una buona pratica in questo senso poiché ciò implica la definizione dell'intenzione dell'utente medio riguardo alla sicurezza.