Estoy buscando información sobre la seguridad de cuándo deshacerse del PIN de un usuario de una aplicación móvil en algunos escenarios:
Fondo: cuando el usuario descarga e instala la aplicación móvil, se le solicita que inicie sesión con nombre de usuario y contraseña. Una vez que la autenticación se haya realizado correctamente, se les solicitará que establezcan un PIN para facilitar el acceso a la aplicación durante la duración de la sesión.
1) La sesión de la aplicación caduca y el usuario debe volver a ingresar su nombre de usuario y contraseña para "reiniciar" la sesión.
- Aquí presumiría dejar el PIN en su lugar ya que esta no fue una acción iniciada por el usuario.
2) El usuario hace clic en "cerrar sesión" en la aplicación para finalizar la sesión manualmente.
- Aquí presumiría que el PIN debería eliminarse ya que fue una acción explícita por parte del usuario.
Entiendo que esto puede verse como "subjetivo", pero creo que debería haber una mejor práctica al respecto, ya que esto implica definir la intención de un usuario promedio con respecto a la seguridad.