Credenciales de autenticación básicas en dispositivos móviles

0

Estoy probando una aplicación móvil que realiza solicitudes a un servicio web. El servicio web tiene dos conjuntos de funciones. Se pueden llamar a las funciones de Clase A antes del inicio de sesión y se pueden llamar a las funciones de Clase B después del inicio de sesión. Las funciones de Clase B están protegidas por las credenciales del usuario y solo se pueden llamar si el usuario inicia sesión y recupera un token. Las funciones de clase A, por otro lado, pueden ser llamadas por cualquier persona. El equipo de desarrollo usó autenticación básica. para proteger estos servicios de los usuarios normales de Internet, pero ponen el nombre de usuario y la contraseña en la aplicación. Las credenciales están codificadas en la aplicación. No me gusta mantener estos datos en la aplicación porque, si por alguna razón necesitamos cambiar la contraseña, debemos enviar una actualización a todos los usuarios. Si un usuario no actualiza su aplicación, no puede iniciar sesión porque la solicitud de inicio de sesión debe enviarse con credenciales de autenticación básicas. Pedí a los desarrolladores que eliminen las credenciales de la aplicación y ellos pidieron una reunión. Tengo que defender mi caso y ofrecer una alternativa. ¿Hay alguna otra buena razón para no mantener estas credenciales en la aplicación y cuál es la mejor práctica a seguir? Gracias.

    
pregunta mk_ 25.12.2018 - 08:54
fuente

1 respuesta

2

La Autenticación básica obviamente podría proteger de los usuarios de Internet comunes, pero definitivamente no protegerá de los piratas informáticos, ya que tales credenciales se obtienen fácilmente de la aplicación o su tráfico. Así que podrías preguntar sobre el modelo de amenaza. Por otro lado, su equipo de operaciones (desarrollo) obtuvo la tarea adicional innecesaria (y el posible punto de falla) para respaldar y actualizar este secreto compartido.

La mejor práctica aquí es construir una arquitectura resistente con una autenticación real sólida para las funciones de Clase B aprobadas por la industria.

    
respondido por el odo 25.12.2018 - 19:17
fuente

Lea otras preguntas en las etiquetas