Tengo un hipotético juego para móviles en el que los jugadores no necesariamente tienen que crear cuentas para jugar. Sus datos están borrados de un identificador de dispositivo como un identificador de publicidad (IDFA) o identifierForVendor de Apple o ID de Android
Para GDPR, necesito permitir que todos los usuarios descarguen sus datos.
¿Es seguro usar el ID como un secreto de autenticación para identificar de forma única a un usuario / dispositivo, o estos valores de ID son predecibles / publicados en algún lugar y son fáciles de falsificar?