Actualmente estoy trabajando en una aplicación de Android en la que quiero autenticar a alguien contra una API REST. Quiero hacer esto tan seguro como sea (costo) efectivo / posible / amigable para el usuario.
He estado mirando a mi alrededor y descubrí que 2FA (autenticación de dos factores) parece la solución más viable (después de iniciar el proceso de registro, enviaré un POST a la API REST para almacenar los datos del dispositivo y darle un token). que se genera a partir de la información del dispositivo y luego envía un SMS con un token diferente al teléfono que el usuario debe ingresar (probablemente TOTP). SSL se utiliza durante la comunicación con la API remota.
Mi pregunta para usted es: ¿vale la pena el esfuerzo de estudiar biométrica? Hay tantas posibilidades de hacer esto:
- voz
- gestos
- Huellas digitales (parece muy inseguro. Episodio de Mythbusters 2006)
- Una imagen del usuario (ya que una 'selfie' es una cosa, pero debe ser monitoreada si no se encuentra el software adecuado).
- y probablemente estoy olvidando algunos más ahora ...
Gracias por la ayuda.