O login por senha continua sendo um meio popular de autenticação de usuários, a despeito de seus pontos fracos. Por exemplo, os usuários frequentemente se esquecem de suas senhas, exigindo um fluxo de redefinição de senhas que pode criar atritos para os usuários que retornam; os bancos de dados de senhas muitas vezes são compartilhados entre infratores; e os usuários costumam reutilizar senhas inseguras em vários sites, o que piora ainda mais o problema do roubo de senhas. Por outro lado, o modelo de autenticação por senha é familiar para os usuários, e eles na verdade esperam que ele seja utilizado. Por isso, é compreensível que muitos desenvolvedores queiram implementar alguma forma de login por senha nos apps.
O Firebase e o Google Cloud Identity Platform fornecem bibliotecas para facilitar a implementação do login por senha para os usuários, mas é importante considerar estas práticas recomendadas de autenticação para criar logins mais seguros.
Antes de lançar um app, você deve adicionar outras restrições às chaves de API para limitar o acesso concedido por elas. Estas são algumas medidas que podem ser tomadas:
Acesse nossa documentação Como aplicar restrições de chave de API para saber mais.
Uma das formas de aumentar a segurança para os usuários que fazem login por senhas é usar ferramentas de gerenciamento de senhas:
Se o app lidar com informações confidenciais, a prática recomendada do setor, e também a nossa recomendação, é exigir a autenticação multifator (MFA) para o login dos usuários. Isso é particularmente importante se o app lidar com informações como dados financeiros ou registros médicos. É possível adicionar um segundo fator à maioria dos métodos de login do Firebase Authentication, incluindo endereço de e-mail e senha, com o Google Cloud Identity Platform. Para começar, ative o Identity Platform no projeto e, em seguida, adicione a autenticação multifator (MFA) aos apps (iOS, Android ou Web). Seu código existente do Firebase Authentication continuará funcionando após a ativação do Identity Platform.
Se a autenticação multifator (MFA) não for utilizada, outras boas opções de autenticação de usuários com o Firebase são utilizar um dos provedores de login social com suporte no Firebase Authentication, como Google, Facebook e Apple, ou o login via links por e-mail.
Para atender aos usuários que não têm ou não utilizam endereços de e-mail, o Firebase e o Google Cloud Identity Platform fornecem serviços de autenticação por número de telefone. Essa é a melhor solução para muitas bases de usuários, mas ela tem suas próprias limitações de segurança: a posse de um número de telefone pode ser facilmente transferida entre usuários e, nos dispositivos com vários perfis de usuários, qualquer usuário que possa receber mensagens SMS pode fazer login em uma conta utilizando o número de telefone do dispositivo. (Consulte os documentos para iOS, Android, Web, Unity e C++.)
Estamos cientes do amplo uso do modelo por senha e continuaremos trabalhando para aumentar a segurança do login por senha.
Postar um comentário
Nenhum comentário :
Postar um comentário