Nuestra aplicación móvil (financiera / bancaria) requiere que el usuario ingrese un nombre de usuario / contraseña para obtener datos a través de llamadas de servicio web. Una vez que el usuario ha iniciado sesión, las credenciales se almacenan en una variable global hasta que el usuario cierre la sesión. Si la aplicación se envía a segundo plano (mensaje de texto, llamada telefónica, etc.), iniciaremos un temporizador y cerraremos la sesión del usuario si la aplicación no se vuelve a activar después del intervalo de tiempo especificado.
Uno de nuestros clientes nos dijo que esto no es seguro y nos está pidiendo que cambiemos este comportamiento y que cerremos la sesión del usuario inmediatamente si la aplicación pasa a segundo plano. No querían revelar por qué creen que nuestro enfoque es inseguro y nos preguntamos si lo que estamos haciendo es realmente inseguro y por qué, o si son demasiado paranoicos.