Mi chiedo quale sia la differenza tra WhatsApp e la mia applicazione Bank e quali considerazioni determinano qual è l'approccio giusto per gestire l'autenticazione dell'utente.
WhatsApp:
- Creo il mio account e non devo effettuare di nuovo l'accesso
- Cambio telefono ma mantieni il mio vecchio numero (stesso chip)
- WhatsApp mi invia un codice perché è lo stesso numero e il mio account è di nuovo attivo
- Se mia moglie / fidanzata / madre / collega riceve il telefono, possono vedere le conversazioni
BankApp:
- Devo registrarmi e creare un account con un login / password e utilizzare il mio numero di carta per convalidare chi sono
- Mi inviano un link di attivazione alla mia email
- Devo inserire il mio login e la mia password ogni volta
- Vengo disconnesso dopo 5 minuti di inattività
- Se un ladro ti punta una pistola, continuerai a regalare la password
Sto sviluppando un'app di monitoraggio e il mio primo pensiero è stato quello di creare un modulo di accesso in modo che l'utente debba inserire ogni volta il login / password, ma ora penso che sia troppo complicato per l'utente. Poi ho capito che WhatsApp non mi chiedeva mai nulla ed è sempre in esecuzione quando avvio il telefono.
Quindi il mio approccio ora è tale che la pagina di accesso viene visualizzata solo una volta. L'utente inserisce il suo login e se è già registrato sul sistema, ottiene il codice di attivazione. L'app si avvia e non richiede di nuovo l'accesso. L'app invia anche il numero ESN per dimostrare l'identità.
È facile da usare, ma ha ancora un problema se qualcuno accede al tuo telefono, perché può sapere dove sei stato.
Ma ancora una volta se hanno accesso al tuo telefono possono sfogliare altre cose come la tua attività su Google e sembrano essere OK perché non è necessario inserire la password per aprire Google.
Quindi Quando è OK avere un sistema come WhatsApp e una sicurezza più robusta come la Banca?