En un esfuerzo por hacer que el registro / inicio de sesión en una aplicación móvil sea más ágil, estoy considerando alternativas al nombre de usuario / contraseña / inicio de sesión.
En este caso (como ocurre con la mayoría de las aplicaciones móviles), el evento de inicio de sesión es un evento muy poco frecuente (el usuario está conectado hasta el cierre de sesión explícito o la eliminación de la aplicación), y la creación de una nueva cuenta (aunque es posible) tiene fricción.
Un enfoque en consideración es el estilo de registro / inicio de sesión de WhatsApp:
- ingresa el número de teléfono
- el código se envía por SMS
- ingrese el código - crear / reclamar cuenta
Sin embargo, nuestra aplicación permite realizar compras locales con una tarjeta de crédito almacenada. Ingresar a la tarjeta de crédito es una pantalla de alta fricción que, idealmente, se debe hacer una vez (hasta que el CC expire). Por esta razón, el inicio de sesión anterior es débil.
Un posible vector de ataque es robar un inicio de sesión de un teléfono bloqueado desatendido que muestra el mensaje SMS. Otro problema (menos probable, pero posible) es cuando se reasigna un número de teléfono a otra persona.
Por esa razón, estoy pensando en usar un correo electrónico como una confirmación secundaria para las cuentas existentes. Por ejemplo:
nuevo usuario + número de teléfono nunca antes visto:
- ingresa teléfono + correo electrónico
- el código se envía a través de SMS + el enlace se envía por correo electrónico
- ingresa el código - crea una cuenta (por ejemplo, agrega una tarjeta de crédito)
- confirme el correo electrónico haciendo clic en el enlace que se envió en el paso 2 (paso sin bloqueo)
Cambio de teléfonos (mismo número de teléfono):
- ingresa teléfono + correo electrónico
- el código se envía a través de SMS + el enlace se envía por correo electrónico
- espere hasta que la cuenta se confirme con el enlace O cree una nueva cuenta
- haga clic en el enlace de correo electrónico
- vuelva a intentar con la cuenta existente
P: ¿Existen posibles vectores de ataque con el esquema actual?