Lavoro in un'azienda che sta attualmente lavorando per proteggere la propria app mobile (nativa iOS) aggiungendo i punti di controllo agli schermi sensibili alla sicurezza sul dispositivo (i dati sono memorizzati nel portachiavi iOS). All'utente verrà richiesto di reinserire la password dopo aver visualizzato queste schermate che presentano questi dati. Uno dei requisiti del team del prodotto è la richiesta di una funzione di usabilità che ritengo sia una potenziale vulnerabilità.
In pratica chiedono quando l'utente lascia il campo che stanno digitando la propria password per verificare che si trasformi immediatamente in rosso o verde, se la password localmente viene verificata come non valida o valida. Ciò sembra rendere troppo facile per un utente malintenzionato prelevare l'iPhone di qualcuno e indovinare ripetutamente la password memorizzata localmente sul dispositivo. Penso che dovremmo controllare e convalidare con il server.
Chiedo qualcuno che possa saperne di più sulle migliori pratiche per rispondere a questa domanda.