¿En qué casos está bien mantener un usuario conectado o proporcionar inicio de sesión automático si se inicia una aplicación?

1

Me pregunto cuál es la diferencia entre WhatsApp y mi aplicación de Bank, y qué consideraciones determinan cuál es el enfoque correcto para manejar la autenticación de usuarios.

WhatsApp:

  • Creo mi cuenta y no tengo que volver a iniciar sesión
  • Cambio de teléfono pero conservo mi número anterior (mismo chip)
  • WhatsApp me envía un código porque es el mismo número y mi cuenta está activa de nuevo
  • Si mi esposa / novia / madre / compañera de trabajo recibe el teléfono, pueden ver las conversaciones

BankApp:

  • Tengo que registrarme y crear una cuenta con un nombre de usuario / contraseña y utilizar mi número de tarjeta para validar quién soy
  • Me enviaron un enlace de activación a mi correo electrónico
  • Tengo que ingresar mi nombre de usuario y contraseña cada vez
  • Me desconecté luego de 5 minutos de inactividad
  • Si un ladrón te apunta con un arma, todavía le darás la contraseña

Estoy desarrollando una aplicación de seguimiento y lo primero que pensé fue crear un formulario de inicio de sesión para que el usuario tenga que ingresar el inicio de sesión / contraseña cada vez, pero ahora creo que es demasiado engorroso para el usuario. Entonces me di cuenta de que WhatsApp nunca me pide nada y siempre se ejecuta cuando inicio el teléfono.

Así que mi enfoque ahora es tal que la página de inicio de sesión solo aparece una vez. El usuario ingresa su nombre de usuario y, si ya está registrado en el sistema, obtiene el código de activación. La aplicación se inicia y no vuelve a solicitar el inicio de sesión. La aplicación también envía el número ESN para probar la identidad.

Es fácil de usar, pero sigue teniendo problemas si alguien obtiene acceso a tu teléfono porque puede saber dónde has estado.

Pero nuevamente, si tienen acceso a su teléfono, pueden navegar por otras cosas como su actividad de Google y eso parece estar bien porque no necesita ingresar su contraseña para abrir Google.

Entonces, ¿cuándo está bien tener un sistema como WhatsApp y cuándo una seguridad más sólida como el Banco?

    
pregunta Juan Carlos Oropeza 09.01.2018 - 20:54
fuente

1 respuesta

0
  1. No usaría el número de ESN para verificar la identidad, la ESN puede falsificarse y no puede revocarse si hay una infracción / robo. La mayoría de los servicios utilizan algún tipo de token seguro que puede verificar criptográficamente (como un certificado SSL) verificar la identidad y también puede ser revocado si la clave privada está comprometida.
  2. El enfoque a recomendar depende del tipo de datos que maneja su aplicación. Piense en la cantidad de problemas que podría causar si alguien obtuviera acceso no autorizado a la cuenta. ¿Podría arruinar potencialmente el estado financiero de alguien (como una cuenta bancaria, SSN, etc.) o simplemente sería un pequeño inconveniente (alguien arruina tu estado guardado en un juego)? Si el daño de una brecha sería alto, cuanta más seguridad pueda proporcionar, mejor. Para algunos tipos de datos (financieros, de salud, etc.) puede haber leyes que dicten este comportamiento dependiendo de su jurisdicción.

  3. Incluso si su comportamiento predeterminado es no requerir que inicie sesión cada vez, considere la posibilidad de hacer que haya más seguridad disponible para el usuario (requiere contraseña cada vez, autenticación de 2 factores, etc.) a algunos usuarios les gusta tener buena seguridad, incluso si los datos no son tan importantes.

respondido por el K.B. 09.01.2018 - 21:09
fuente

Lea otras preguntas en las etiquetas