In quali casi è giusto mantenere un utente connesso o fornire accesso automatico se si avvia un'app?

Naviga le tue risposte
1

Mi chiedo quale sia la differenza tra WhatsApp e la mia applicazione Bank e quali considerazioni determinano qual è l'approccio giusto per gestire l'autenticazione dell'utente.

WhatsApp:

  • Creo il mio account e non devo effettuare di nuovo l'accesso
  • Cambio telefono ma mantieni il mio vecchio numero (stesso chip)
  • WhatsApp mi invia un codice perché è lo stesso numero e il mio account è di nuovo attivo
  • Se mia moglie / fidanzata / madre / collega riceve il telefono, possono vedere le conversazioni

BankApp:

  • Devo registrarmi e creare un account con un login / password e utilizzare il mio numero di carta per convalidare chi sono
  • Mi inviano un link di attivazione alla mia email
  • Devo inserire il mio login e la mia password ogni volta
  • Vengo disconnesso dopo 5 minuti di inattività
  • Se un ladro ti punta una pistola, continuerai a regalare la password

Sto sviluppando un'app di monitoraggio e il mio primo pensiero è stato quello di creare un modulo di accesso in modo che l'utente debba inserire ogni volta il login / password, ma ora penso che sia troppo complicato per l'utente. Poi ho capito che WhatsApp non mi chiedeva mai nulla ed è sempre in esecuzione quando avvio il telefono.

Quindi il mio approccio ora è tale che la pagina di accesso viene visualizzata solo una volta. L'utente inserisce il suo login e se è già registrato sul sistema, ottiene il codice di attivazione. L'app si avvia e non richiede di nuovo l'accesso. L'app invia anche il numero ESN per dimostrare l'identità.

È facile da usare, ma ha ancora un problema se qualcuno accede al tuo telefono, perché può sapere dove sei stato.

Ma ancora una volta se hanno accesso al tuo telefono possono sfogliare altre cose come la tua attività su Google e sembrano essere OK perché non è necessario inserire la password per aprire Google.

Quindi Quando è OK avere un sistema come WhatsApp e una sicurezza più robusta come la Banca?

    
posta Juan Carlos Oropeza 09.01.2018 - 20:54
fonte

1 risposta

0
  1. Non userei il numero ESN per verificare l'identità, ESN può essere falsificato e non può essere revocato in caso di violazione / furto. La maggior parte dei servizi utilizza una sorta di token sicuro che può crittografare (come un certificato SSL) verificare l'identità, ma può anche essere revocato se la chiave privata è compromessa.

  2. Quale approccio consigliare dipende dal tipo di dati gestiti dalla tua app. Pensa a quanto potrebbe causare un problema se qualcuno dovesse ottenere un accesso non autorizzato all'account. Potrebbero potenzialmente rovinare lo status finanziario di qualcuno (come un conto bancario, SSN, ecc.) O sarebbe solo un piccolo inconveniente (qualcuno rovina il tuo stato salvato su un gioco). Se il danno da una violazione è elevato, maggiore è la sicurezza che puoi fornire, meglio è. Per alcuni tipi di dati (finanziari, sanitari, ecc.) Potrebbero esserci leggi che dettano questo comportamento a seconda della giurisdizione dell'utente.

  3. Anche se il tuo comportamento predefinito non richiede l'accesso ogni volta, considera la possibilità di rendere disponibile una sicurezza aggiuntiva per l'utente (richiedere password ogni volta, autenticazione a 2 fattori, ecc.) ad alcuni utenti piace avere una buona sicurezza anche se i dati non sono così importanti.

risposta data 09.01.2018 - 21:09
fonte

Leggi altre domande sui tag

È sicuro implementare l'autenticazione JWT con i cookie, il controllo delle versioni dei token e nessun token di aggiornamento? Suite di cifratura di bonifica di OpenVas