Realizzare un'app per Android (per divertimento) che comunica con un server Sto cercando di escogitare idee di sicurezza pronte all'uso, una di queste sarebbe utilizzare un sensore di heartbeat invece di un captcha per evitare lo spam. Quanto sarebbe efficace? Non è una password, solo un mezzo per dimostrarmi umano. Per la mia app non è necessario essere molto strong (solo una competizione tra fratelli) ma sarebbe utilizzabile in app su larga scala?
Come dicono i commenti, la sicurezza deve essere fatta lato server, non lato client.
Se qualcuno volesse inviare spam al tuo server, non userebbe la tua app per farlo, annuncerebbe i pacchetti di dati che la tua app sta inviando al server e poi costruirà la propria app che invia gli stessi pacchetti con i loro messaggio invece.
Per questo motivo, nell'analisi della sicurezza trattiamo sempre il client come se fosse malevolo e assicurati che il server non stia facendo affidamento sul client per eseguire i controlli di sicurezza. Nel caso di un captcha, i risultati vengono inviati al server da verificare prima di elaborare la richiesta. È possibile inviare i dati heartbeat al server, ma non sono sicuro di ciò che ciò comporti perché lo spammer potrebbe semplicemente registrare un heartbeat e inviarlo più e più volte. Potresti anche creare facilmente un generatore di battito cardiaco basandoti su un generatore di numeri casuali.
Inventare nuove tecnologie di sicurezza è difficile, ci vogliono un sacco di persone e molti tentativi falliti per farlo bene. C'è un vecchio detto "chiunque può creare qualcosa che loro stessi non possono rompere, ma creare qualcosa che nessuno può rompere è molto più difficile". Mi piace il fatto che tu stia pensando fuori dagli schemi e facendo domande. Continua a esplorare:)
Leggi altre domande sui tag authentication android multi-factor