QR「肩越し」スキャンを避ける

Question

アプリ（Android & iOS）プロジェクトの場合は、ログインする前に登録が必要です。これは、アプリケーション内のカメラ機能を使用して、関連付けられたWebページ上のone-time passwordを含むQR codeをスキャンすることによって行われます。

The flow on web is: see info about app and app store link -> show QR -> set pin code -> confirm. 

私はしばらくの間（例えば、オフィスでのコーヒーのために行く）登録の流れを開き、その後、彼の机を残してから誰かを避けるために、メカニズムを作成したいです。さもなければ、いくつかの「攻撃者」がQRステップを完了することができ、元のユーザが自分の机に戻ると、彼はピンを設定して確認する。おそらくQRのステップがあることを認識していない可能性があります。 「攻撃者」がPINを知らなくても、間違ったデバイスが登録されます。元のユーザーは自分のアプリを使用できなくなります。

現在、制限時間は1分です。しかし、QRは新しいOTPで再ロードされた になる可能性がありますので、あまり効果がありません。

Answer 1

QRコードは任意のサイズになる可能性があるので、私は思っていません。QRコードが本当に近いか遠いかを知る方法はないと思います。ショルダー'。いずれにしても、ユーザーが逃げてしまった場合、攻撃者が技術的に必要な限り接近する可能性があるため、攻撃者または実際のユーザーを区別する実際の方法はありません。

また、攻撃者がコードをスキャンして、ユーザーが離れている間にピンを設定した場合はどうなりますか？私はこれが登録の非常に安全な方法であることを予期していませんが、それは便利だろう。銀行のアプリならこれをお勧めしませんが、私の小さなポニーゲームのように、報酬は私が思うようなリスクを上回ります。