Registrarse / Iniciar sesión con Mobile + PIN

2

Telegram implementa el inicio de sesión / inicio de sesión con un número de teléfono móvil y una contraseña única de 5 dígitos. Creo que el flujo es algo parecido a esto:

  1. Agarre el número de teléfono móvil, genere un OTP, guárdelo y envíelo por SMS.
  2. Cuando el usuario introdujo el TOTP, verifique si hay una cuenta con un número de móvil que coincida y, de ser necesario, créelo. El usuario ahora está autenticado.

Mi pregunta es, ¿cómo es esto tan seguro como el registro / inicio de sesión "tradicional" con una contraseña fija? Si tuviera que implementar el mismo flujo en una aplicación mía, ¿a qué trampas debería tener cuidado? ¿Cómo puedo garantizar que la cuenta de un usuario no se vea comprometida por dicho flujo?

    
pregunta Roy Stark 25.06.2015 - 13:34
fuente

1 respuesta

2

La pregunta no es si es "tan segura como" la contraseña tradicional: no está destinada a lograr lo mismo.

Para telegrama, un "usuario" es un número de teléfono: cualquier persona que tenga acceso a ese número de teléfono es, por definición, un usuario autorizado. En otras palabras, delega la seguridad de su cuenta a usted y a su compañía telefónica.

    
respondido por el Stephane 25.06.2015 - 13:46
fuente

Lea otras preguntas en las etiquetas