Reemplazo de la pantalla de nombre de usuario y contraseña con una pantalla de código PIN para facilitar el acceso móvil

Navega tus respuestas
2

Tengo una aplicación móvil de Android que actualmente solicita al usuario un nombre de usuario y una contraseña para iniciar sesión. Por razones de seguridad, el token de sesión caduca en 2 horas, por lo que debe solicitar el nombre de usuario y la contraseña a menudo, lo que puede ser frustrante y molesto para los usuarios de dispositivos móviles. Me gustaría reemplazar la pantalla de nombre de usuario y contraseña con una pantalla de código PIN para que sea más fácil para el usuario iniciar sesión con frecuencia. ¿Cuáles son algunas de las mejores prácticas y estándares para la implementación del código PIN sin comprometer la seguridad de la aplicación?

Al iniciar sesión por primera vez, la aplicación le pedirá al usuario que ingrese un código PIN preferido después que haya iniciado sesión correctamente.

    
pregunta Savv 06.09.2017 - 11:59
fuente

1 respuesta

1

Lo que quieras requiere que el token sea válido por tiempo indefinido. Sin embargo, eso pondría en peligro la seguridad de la aplicación. Por lo tanto, debe encontrar una manera de obtener 2 tokens en el dispositivo, uno válido por 2 horas, el segundo por tiempo indefinido. Sin embargo, cualquier persona que obtenga acceso al dispositivo móvil también puede acceder al token, lo que conlleva un compromiso de cuenta. Para evitar eso, podrías cifrar el token. Es posible que un token cifrado con 4 dígitos aún no sea sólido para su caso de uso, pero eso está fuera de mi conocimiento.

    
respondido por el Kryštof Píštěk 07.09.2017 - 18:10
fuente

Lea otras preguntas en las etiquetas

¿Cómo obtener un poco pegajoso como ACL pero solo para usuarios específicos de Linux? flujo de trabajo de protección JWT y CSRF