Attualmente sto lavorando a un sistema di autenticazione offline per un ambiente mobile multiutente.
Per evitare di memorizzare localmente tutte le password, che sembra essere una cattiva idea, procedo in questo modo:
È richiesta una prima autenticazione online. il server restituisce quindi un token all'utente, che verrà utilizzato per eseguire chiamate API future.
Per avere più utenti sullo stesso dispositivo mobile / tablet, ho bisogno di un modo per memorizzare diversi token e di consentire solo l'accesso a un determinato utente.
mi vengono in mente due soluzioni:
- password classica, con il rischio che l'utente inserisca la stessa password della "password principale"
- Codice PIN o codice simile, senza relazione con la "password principale" ma con meno entropia
L'autenticazione tramite impronta digitale sarebbe anche una soluzione, ma non tutti i dispositivi supportano il rilevamento delle impronte digitali.
Entrambi i casi presentano degli svantaggi ed entrambi sono deboli, in quanto vulnerabili all'attacco offline
Quale sarebbe il modo migliore per autenticare un utente in un ambiente mobile offline, multiutente?