Этого нельзя делать, потому что буффер обмена общий у операционных систем, и скопировав что-то, любое приложение может получить доступ к скопированной информации(в ios в новых версиях, доступ может получить приложение только в foreground).
Всегда идет борьба между безопасностью и юзабилити. Нужно искать компромисс, тут я согласен. Но вопрос в том, куда этот пароль открывает доступ. И если это соц сеть, то можно выбрать юзабилити. Если это что-то связанное с деньгами, то наверное нет.
Рядом с зашифрованным RefreshToken. Они могут храниться где угодно в открытом виде, тк не являются секретами.
то останется перебрать лишь 4-6 значное числовое значения пина.
В этом и смысл статьи, что перебрать не получится. Нет никаких данных, по которым можнно определить верный это RefreshToken или нет. Можно узнать только отправив его в API, а там лимит на 3 попытки и инвалидация всех токенов.
Всегда идет борьба между безопасностью и юзабилити. Нужно искать компромисс, тут я согласен. Но вопрос в том, куда этот пароль открывает доступ. И если это соц сеть, то можно выбрать юзабилити. Если это что-то связанное с деньгами, то наверное нет.
В этом и смысл статьи, что перебрать не получится. Нет никаких данных, по которым можнно определить верный это RefreshToken или нет. Можно узнать только отправив его в API, а там лимит на 3 попытки и инвалидация всех токенов.
2) пин хранится где-то на сервере, что подразумевает риск массовой утечки