web-dev-qa-db-ja.com

モバイルデバイス識別子に基づいてユーザーを認証する

プレイヤーがプレイするために必ずしもアカウントを作成する必要がない架空のモバイルゲームを持っています。それらのデータは、広告ID(IDFA)やAppleの identifierForVendor または Android ID などのデバイスIDを基にしています。

GDPRの場合、すべてのユーザーがデータをダウンロードできるようにする必要があります。

IDを認証シークレットとして使用してユーザー/デバイスを一意に識別しても安全ですか、またはこれらのID値は予測可能/どこかに公開され、なりすましが容易ですか?

authenticationandroidmobileios
4
Shruggie

識別子をソルトしてハッシュし、その結果をデータベースに保存できます。ユーザーが自分のデータを必要とする場合、IDをハッシュ化してソルト処理し、テーブルを検索してデータを回復します。適切にソルト処理されたハッシュからIDを推測することはほぼ不可能です。

Androidの電話では、ルート権限を取得した電話のAndroid IDを変更できます。 Appleの電話でこれが可能かどうかはわかりません。

1
ThoriumBR

デバイスIDを取得できれば、悪意のあるアプリも取得できます

このように考えてみてください。プレーヤーの電話の他のすべてのアプリに、中央のハブにデータを送信して、このユーザーに代わってゲームに偽のWebリクエストを送信できるようにしたいですか?

さて、確かに、ユーザーの電話のほとんどのアプリはこれを実行していませんが、本当にドアを開けますか?

パスワードなしの認証の優れたセキュリティが必要な場合は、標準的なソリューション( AuthymaybeAuthentiq など)。

1
NH.