Nel tentativo di rendere più semplice l'iscrizione / accesso a un'app mobile, sto considerando alternative al login / login username / password.
In questo caso (come con la maggior parte delle app mobili) l'evento di accesso è un evento molto raro (l'utente è loggato fino al logout o alla rimozione dell'app) e la creazione di un nuovo account (anche se possibile) ha attrito.
Un approccio preso in considerazione è lo stile di accesso / accesso di WhatsApp:
- inserisci il numero di telefono Il codice
- viene inviato tramite SMS
- inserisci il codice - crea / richiedi l'account
La nostra app, tuttavia, consente acquisti locali con una carta di credito memorizzata. L'inserimento della carta di credito è uno schermo ad alto attrito che dovrebbe idealmente essere fatto una volta (fino alla scadenza del CC). Per questo motivo, il login sopra è troppo debole.
Un possibile vettore di attacco è quello di rubare un accesso da un telefono bloccato non sorvegliato che visualizza il messaggio SMS. Un altro problema (meno probabile, ma possibile) è quando un numero di telefono viene riassegnato a un'altra persona.
Per questo motivo, sto pensando di utilizzare un'email come conferma secondaria per gli account esistenti. Ad esempio:
nuovo utente + numero di telefono mai visto prima:
- inserisci telefono + email Il codice
- viene inviato tramite SMS + il link viene inviato tramite email
- inserisci il codice - crea un account (ad esempio aggiungi una carta di credito)
- conferma l'email facendo clic sul collegamento inviato nel passaggio 2 (passaggio non di blocco)
Modifica dei telefoni (stesso numero di telefono):
- inserisci telefono + email Il codice
- viene inviato tramite SMS + il link viene inviato tramite email
- attendi fino all'account confermato con il link OPPURE crea un nuovo account
- fai clic sul link email
- riprova con l'account esistente
Q: ci sono potenziali vettori di attacco con lo schema corrente?