Autenticar usuario basado en el identificador del dispositivo móvil

3

Tengo un hipotético juego para móviles en el que los jugadores no necesariamente tienen que crear cuentas para jugar. Sus datos están borrados de un identificador de dispositivo como un identificador de publicidad (IDFA) o identifierForVendor de Apple o ID de Android

Para GDPR, necesito permitir que todos los usuarios descarguen sus datos.

¿Es seguro usar el ID como un secreto de autenticación para identificar de forma única a un usuario / dispositivo, o estos valores de ID son predecibles / publicados en algún lugar y son fáciles de falsificar?

    
pregunta ben 13.09.2018 - 18:37
fuente

2 respuestas

1

Podrías saltear el hash y el identificador, y almacenar el resultado en tu base de datos. Cuando el usuario desea sus datos, hash y saltea el ID, realiza una búsqueda en tus tablas y recupera los datos. Adivinar la identificación a partir de un hash adecuadamente salado es casi imposible.

En los teléfonos Android, puede cambiar la ID de Android en los teléfonos rooteados. No sé si esto es posible en los teléfonos de Apple.

    
respondido por el ThoriumBR 13.09.2018 - 20:24
fuente
1

Si puede obtener la ID del dispositivo, también lo puede hacer cualquier aplicación maliciosa

Piénsalo de esta manera: ¿desearías que todas las demás aplicaciones en el teléfono del jugador tengan la capacidad de enviar datos a un centro centralizado desde donde podrían realizar solicitudes web falsas a tu juego en nombre de este usuario?

Ahora, seguro, la mayoría de las aplicaciones en el teléfono del usuario no están haciendo esto, pero ¿realmente quieres abrir esa puerta?

Si desea una autenticación sin contraseña y una buena seguridad, es probable que esté mejor con una solución estándar ( Authy , quizás Authentiq , etc.).

    
respondido por el NH. 19.10.2018 - 01:44
fuente

Lea otras preguntas en las etiquetas