Dovresti rimuovere il PIN dell'applicazione dell'utente se si disconnettono esplicitamente

Naviga le tue risposte
1

Sto cercando informazioni dettagliate sulla sicurezza in merito a quando disporre del PIN di un utente dell'applicazione mobile in alcuni scenari:

Sfondo: quando l'utente scarica e installa l'app mobile, gli viene chiesto di accedere con nome utente e password. Una volta completata l'autenticazione, viene richiesto di impostare un PIN per accedere più facilmente all'app durante la durata della sessione.

1) La sessione dell'app scade e l'utente deve reinserire il nome utente e la password per "riavviare" la sessione.

  • Qui presumo di lasciare il PIN in posizione perché questa non era un'azione avviata dall'utente.

2) L'utente fa clic su "Esci" nell'app per terminare la sessione manualmente.

  • Qui presumo che il PIN debba essere rimosso poiché si trattava di un'azione esplicita da parte dell'utente.

Capisco che questo possa essere considerato come "soggettivo", ma credo che ci dovrebbe essere una buona pratica in questo senso poiché ciò implica la definizione dell'intenzione dell'utente medio riguardo alla sicurezza.

    
posta Ryan Mendoza 27.08.2018 - 18:18
fonte

1 risposta

1

Quindi hai una configurazione in cui l'utente deve fare l'autenticazione completa nome utente / password, ma come scorciatoia permetti loro di usare un PIN fino alla scadenza della sessione.

Seguirò il modello utilizzato dal client Keepass2Android:

  • Quando apri l'app (equivalente alla tua nuova sessione), devi eseguire il processo di autenticazione completo.

  • Mentrel'apprimaneaperta,mainbackground,puoiriaprirlautilizzandounascorciatoia:ultimi3caratteridellatuapassword,scannerdiimprontedigitali,ecc.(equivalentealtuoPIN,credo).

  • Quandochiudicompletamentel'app,dovraieffettuareillogincompletolaprossimavolta.

Quindiseguendoquelmodello,vorreicheinserisserounPINalmomentodell'installazione,quandoapronounanuovasessionedevonoreinserirelelorocredenzialicompletee,mentrelasessioneèaperta,possonousareilPIN.

NonvedoalcunadifferenzatraselasessioneèscadutainmodonaturaleoperchéhannofattoclicsuLogOut.Inoltre,nonvedoalcunmotivopercostringerliascegliereunnuovoPIN;sembrachestiachiedendoproblemidiusabilità("Qual è il mio PIN di nuovo ??") per minori vantaggi di sicurezza.

    
risposta data 27.08.2018 - 19:09
fonte

Leggi altre domande sui tag

Algoritmi asimmetrici consigliati per JWT? Configurazione topologia su CheckPoint