Si elimina el PIN de la aplicación del usuario si se desconecta explícitamente

Navega tus respuestas
1

Estoy buscando información sobre la seguridad de cuándo deshacerse del PIN de un usuario de una aplicación móvil en algunos escenarios:

Fondo: cuando el usuario descarga e instala la aplicación móvil, se le solicita que inicie sesión con nombre de usuario y contraseña. Una vez que la autenticación se haya realizado correctamente, se les solicitará que establezcan un PIN para facilitar el acceso a la aplicación durante la duración de la sesión.

1) La sesión de la aplicación caduca y el usuario debe volver a ingresar su nombre de usuario y contraseña para "reiniciar" la sesión.

  • Aquí presumiría dejar el PIN en su lugar ya que esta no fue una acción iniciada por el usuario.

2) El usuario hace clic en "cerrar sesión" en la aplicación para finalizar la sesión manualmente.

  • Aquí presumiría que el PIN debería eliminarse ya que fue una acción explícita por parte del usuario.

Entiendo que esto puede verse como "subjetivo", pero creo que debería haber una mejor práctica al respecto, ya que esto implica definir la intención de un usuario promedio con respecto a la seguridad.

    
pregunta Ryan Mendoza 27.08.2018 - 18:18
fuente

1 respuesta

1

Por lo tanto, tiene una configuración en la que el usuario necesita realizar la autenticación completa del nombre de usuario y la contraseña, pero como atajo le permite usar un PIN hasta que la sesión expire.

Seguiría el modelo utilizado por el cliente de Keepass2Android:

  • Cuando abre la aplicación (equivalente a su nueva sesión), debe realizar el proceso de autenticación completo.

  • Mientraslaaplicaciónpermaneceabierta,peroensegundoplano,puedevolveraabrirlaconunatajo:losúltimos3caracteresdesucontraseña,elescánerdehuellasdactilares,etc.(equivalenteasuPIN,creo).

  • Cuandocierrelaaplicaciónporcompleto,lapróximavezdeberáiniciarsesiónporcompleto.

Porlotanto,siguiendoesemodelo,lespidoqueingresenunPINenlainstalación,cuandoabranunanuevasesión,debenvolveraingresarsuscredencialescompletas,ymientraslasesiónestáabierta,puedenusarelPIN.

AquínoveoningunadiferenciaentresilasesiónexpiródeformanaturaloporquehicieronclicenLogOut.TampocoveoningunarazónparaobligarlosaelegirunnuevoPIN;esoparecequeestápidiendoproblemasdeuso("¿Cuál es mi PIN otra vez?") para beneficios de seguridad de menor importancia.

    
respondido por el Mike Ounsworth 27.08.2018 - 19:09
fuente

Lea otras preguntas en las etiquetas

¿Existen actualmente normas para el cifrado homomórfico? Configuración de topología en CheckPoint