MASVS-AUTH: Autenticação e Autorização¶
A autenticação e a autorização são componentes essenciais da maioria dos aplicativos móveis, especialmente aqueles que se conectam a um serviço remoto. Esses mecanismos fornecem uma camada adicional de segurança e ajudam a prevenir o acesso não autorizado a dados sensíveis do usuário. Embora a aplicação desses mecanismos deva estar no endpoint remoto, é igualmente importante que o app siga as melhores práticas relevantes para garantir o uso seguro dos protocolos envolvidos.
Aplicativos móveis frequentemente usam diferentes formas de autenticação, como biometria, PIN ou geradores de código de autenticação multifator, para validar a identidade do usuário. Esses mecanismos devem ser implementados corretamente para garantir sua eficácia na prevenção de acessos não autorizados. Além disso, alguns apps podem depender exclusivamente da autenticação local do aplicativo e podem não ter um endpoint remoto. Nesses casos, é crítico assegurar que os mecanismos de autenticação local sejam seguros e implementados seguindo as melhores práticas do setor.
Os controles nesta categoria visam garantir que o app implemente mecanismos de autenticação e autorização de forma segura, protegendo informações sensíveis do usuário e prevenindo acesso não autorizado. É importante notar que a segurança do endpoint remoto também deve ser validada usando padrões do setor, como o OWASP Application Security Verification Standard (ASVS).
| ID | statement |
|---|---|
| MASVS-AUTH-1 | The app uses secure authentication and authorization protocols and follows the relevant best practices. |
| MASVS-AUTH-2 | The app performs local authentication securely according to the platform best practices. |
| MASVS-AUTH-3 | The app secures sensitive operations with additional authentication. |