Attualmente sto lavorando a un'app Android in cui voglio autenticare qualcuno contro un'API REST. Voglio farlo in modo sicuro (costo) efficace / possibile / facile da usare.
Mi sono guardato intorno e ho scoperto che la 2FA (autenticazione a due fattori) sembra la soluzione più praticabile (dopo aver avviato il processo di iscrizione invierò un POST all'API REST per archiviare i dati del dispositivo e fornire al dispositivo un token che viene generato dalle informazioni del dispositivo e quindi inviare un SMS con un diverso token al telefono che l'utente deve quindi immettere (probabilmente TOTP)). SSL viene utilizzato durante la comunicazione con l'API remota.
La mia domanda è, vale la pena di esaminare la biometria? Ci sono così tante possibilità per farlo:
- Voce
- I gesti
- Impronte digitali (sembra molto pericoloso. Episodio di Mythbusters del 2006)
- Una foto dell'utente (dal momento che un "selfie" è una cosa, ma deve essere monitorato se non viene trovato un adeguato software di abbinamento).
- e probabilmente ne dimenticherò qualcuno in più ...
Grazie per l'aiuto.