Comment les applications mobiles conservent-elles de telles sessions de longue durée tout en étant considérées comme sécurisées?
J'ai ouvert ma première application Amazon iOS pour la première fois en plusieurs mois aujourd'hui et j'ai été capable d'aller à la caisse (où j'ai pu voir et mettre à jour mon adresse) sans être invité à ré-auth. Comment est-ce que cela est possible tout en étant toujours sécurisé, ainsi que la conformité PCI?
La sécurité n'est pas une proposition binaire; C'est-à-dire que les choses ne sont pas "sécurisées" ou "insécurité", mais tombent quelque part sur un spectre de sécurité.
Ainsi, une personne à Amazon a déterminé que la conservation des sessions mobiles vivant pendant plusieurs mois et ne nécessite pas de reproduction à la caisse, est sécurisée assez. De leur point de vue, cela est probablement un équilibre entre le coût (très réel monétaire) de forcer les utilisateurs à re-authentifier et le coût (très réel monétaire) des téléphones volés des utilisateurs qui placent des ordonnances frauduleuses. Je soupçonne qu'ils ont également une détection de fraude supplémentaire en place qui signalera des commandes suspectes, réduisant ainsi le coût d'un téléphone volé Amazon-autorisé.
Je ne connais pas très bien les détails de PCI-DSS, mais je ne pense pas que cela dispose de dispositions qui appliqueraient dans cette situation.
La sécurité est un concept relatif. L'équilibre se trouve souvent quelque part entre la commodité et la perception de la menace (les deux sont des domaines subjectifs!).
En général, je dirais que les applications mobiles qui maintiennent des sessions authentifiées pendant de longues périodes ne sont pas "aussi sûres qu'elles pourraient être" si elles ont expiré ces sessions plus fréquemment.
Cependant, il est utile d'examiner les deux principales menaces que l'expiration de la session est une protection contre:
- Certain (pas toutes) Utilisation partagée des scénarios de périphérique
- Détournement de la session
Les appareils mobiles étant des périphériques en grande partie personnels, les applications mobiles ont une exposition relativement moins menacée à celle d'un onglet de navigateur sur un système d'ordinateur portable/de bureau - où un autre utilisateur pourrait (avec une probabilité accrue), utilisez un onglet de l'historique et de trouver un compte connecté. .
Les autres protections existent contre la session du détournement de la session - telles que l'utilisation des non-conversations et la détection de changement de code IP (controversé). Si une application spécifique utilise toute protection contre cela ou non est un détail important mais manquant. :)