Estamos intentando crear una identificación digital para reemplazar los pasaportes / permisos de conducir del Reino Unido para ingresar a las instalaciones con licencia, pero debemos asegurarnos de que no se pueda falsificar (o, en su defecto, la barrera para falsificarla debe ser muy alta).
Aquí están las restricciones con las que debemos lidiar:
- Necesitamos poder implementarlo en Android y iOS
- A los supervisores de puertas no les gusta usar la tecnología de su lado, por lo que los dispositivos móviles Las soluciones de comunicación móvil no son posibles, y todo lo que requiere más que un esfuerzo menor en su lado es probable que no sea un opción cualquiera
- Para mostrar la identificación, los usuarios escanearán un código QR estático alrededor del cuello de los supervisores de la puerta, que mostrará la identificación en el teléfono del usuario hasta que se retire.
Suponer que una autenticación suficiente es un requisito previo, y que podemos utilizar los datos de Facebook de los usuarios si es necesario.
Las identificaciones tradicionales usan un holograma para evitar la falsificación, y a pesar de que en muchos casos es relativamente fácil de falsificar, se considera un nivel de seguridad suficiente para muchas tarjetas de identificación físicas. Podríamos usar los datos del giroscopio y el acelerómetro para crear algo que se vea y se mueva como un holograma, pero nuestro temor es que esto pueda ser falsificado, ya sea en una aplicación web en el navegador o en una aplicación en un iPhone arraigado / sideloaded en Android.
También hemos considerado el uso de tokens de seguridad física como una solución, por lo que el personal de la puerta tiene un token de seguridad física con el código QR. El usuario escanearía el código QR que le dice a la aplicación en qué lugar se encuentra y cuál es el ID del token de seguridad. La aplicación podría hablar con el servidor de autenticación digital de token de seguridad y mostrar el código de token correspondiente a esa ID, que debería coincidir y evitar falsificaciones. Sin embargo, debido a la deriva del token a lo largo del tiempo, se necesitaría una sincronización manual regular, por lo que no es una solución perfecta.
¿Alguna idea?