Haciendo una aplicación de Android (por diversión) que se comunica con un servidor que estoy tratando de encontrar ideas de seguridad fuera de la caja, una de ellas sería usar un sensor de latido en lugar de un captcha para evitar el spam. ¿Qué tan efectivo sería? No es una contraseña, solo un medio para probarme como humano. Para mi aplicación, no es necesario que sea muy fuerte (solo una competencia entre hermanos), pero ¿esto podría usarse en aplicaciones a gran escala?
Como dicen los comentarios, la seguridad debe hacerse desde el lado del servidor, no del lado del cliente.
Si alguien quisiera enviar correo no deseado a su servidor, no utilizarían su aplicación para hacerlo, rastrearían los paquetes de datos que su aplicación está enviando al servidor y luego crearían su propia aplicación que envíe esos mismos paquetes con sus mensaje en su lugar.
Por esta razón, en el análisis de seguridad siempre tratamos al cliente como si fuera malicioso y nos aseguramos de que el servidor no dependa del cliente para realizar las comprobaciones de seguridad. En el caso de un captcha, los resultados se envían al servidor para ser verificados antes de que procese su solicitud. Podría enviar los datos de los latidos del corazón al servidor, pero no estoy seguro de qué se logrará porque el spammer simplemente podría registrar un latido y enviarlo una y otra vez. También es probable que pueda crear un generador de latidos de forma bastante sencilla basándose en un generador de números aleatorios.
Inventar una nueva tecnología de seguridad es difícil, se necesita mucha gente y muchos intentos fallidos para hacerlo bien. Hay un viejo dicho: "Cualquiera puede crear algo que ellos mismos no pueden romper, pero crear algo que nadie puede romper es mucho más difícil". Me gusta que estés pensando fuera de la caja y haciendo preguntas. Sigue explorando :)
Lea otras preguntas en las etiquetas authentication android multi-factor