我决定在我的应用中实施存储的PIN设置。它存储散列针和盐(每次更换PIN时重新生成)。这都是本地的,我最初试图避免让用户需要在线。是否有最佳做法让他们恢复访问权限,因为它们都处于脱机状态?
详细信息: 我想知道的是,因为我已经这样做了,如果他们真的忘记了他们的四位数PIN,用户就无法访问该应用程序。
我希望能够找到保证,如果这是一条可以接受的路线 - 在设置PIN之前会有本地化的警告和解释,并且默认情况下没有设置。哈希和salt存储在本地。我还警告用户在启用PIN之前备份本地数据库。这些预防措施是否足以“公平警告”?或者我应该选择网络服务帐户还是我自己的服务(我承认我试图避免在线服务)。