Estoy trabajando en una empresa que actualmente está trabajando para proteger su aplicación móvil (iOS nativa) agregando puntos de control a las pantallas sensibles a la seguridad en el dispositivo (los datos se almacenan en el llavero de iOS). Se le solicitará al usuario que vuelva a ingresar su contraseña al ver estas pantallas que presentan estos datos. Uno de nuestros requisitos del equipo de Producto es solicitar una función de usabilidad que creo que es una vulnerabilidad potencial.
Básicamente, cuando el usuario deja el campo, están preguntando que están escribiendo su contraseña para verificar que se vuelve rojo o verde inmediatamente, si la contraseña se verifica localmente como no válida o válida. Parece que esto haría que sea demasiado fácil para un atacante recoger el iPhone de alguien y adivinar repetidamente la contraseña almacenada localmente en el dispositivo. Creo que deberíamos verificar y validar con el servidor.
Solicito a alguien que sepa más sobre las mejores prácticas para responder esta pregunta.