В чем проблема простого кейлоггера для регистрации пользователя и пароля, которые введены на странице аутентификации facebook?
Теоретически?Ничего такого.
Я что-то упустил?
Да ... Вам не хватает глобальных соображений / проблем ... Безопасность имени пользователя / пароля настолько же сильна, как и система, использующая системуих аутентифицировать.Именно ваше доверие к клиенту / системе является определяющим фактором здесь ...
Цель OAuth - предоставить сторонним приложениям ограниченный доступ к ресурсам, которые также могут использоваться для аутентификации SSO.
Чтобы использовать Facebook в приложении iPhone для единого входа, ваше приложение передает / перенаправляет пользователя в приложение Facebook.Приложение Facebook обрабатывает аутентификацию, а затем возвращает / перенаправляет пользователя обратно в ваше приложение с токеном аутентификации (токен аутентификации).Если пользователь уже вошел в Facebook и уже авторизовал ваше приложение, это, по сути, происходит в фоновом режиме.
Дело в том, что ответственность за аутентификацию переносится на приложение Facebook.Если система будет взломана, утечка будет происходить в основном за пределами вашего приложения и в приложении Facebook ... Но это опять же указывает на более серьезную проблему - безопасность и надежность системы - если она взломана, она взломана.
Каков наилучший способ предотвращения компрометации учетных данных?
Просто поймите, что токен auth_token по сути совпадает с комбинацией имени пользователя и пароля.С iPhone у вас, вероятно, не будет необходимости хранить его (вместо этого просто используйте экземпляр Facebook), однако, если по какой-то причине вам нужно хранить информацию - защитите ее.
С более глобальной точки зрения?- Предоставляйте только ваше имя пользователя и пароль для / на системах, которым вы доверяете (ежу понятно).