Где мы должны хранить ПИН-код при реализации входа по ПИН-коду в мобильном приложении? ⇐ Android

[Anonymous]

Мне интересно узнать мнение людей по этому поводу.
Как люди относятся к внедрению входа в систему с помощью PIN-кода в мобильном приложении?
Более конкретно, где должен храниться PIN-код?
Скажем, у нас есть стандартная конечная точка API для аутентификации, которая вернет нам токен аутентификации. Пользователь вводит свое имя пользователя и пароль, мы отправляем их в конечную точку аутентификации и возвращаем токен аутентификации, если он действителен.
Теперь пользователь также может установить PIN-код, который будет использоваться, если он вошел в систему и аутентифицирован ранее. Раньше при реализации этого я всегда сохранял PIN-код пользователя в зашифрованном виде в безопасном хранилище на устройстве. Если пользователь вводит свой PIN-код, мы проверяем этот ввод на соответствие тому, который сохранен в хранилище. Если ПИН-коды совпадают, мы затем извлекаем сохраненный токен обновления из предыдущего ответа аутентификации и используем его для получения нового токена, после чего мы аутентифицируемся с помощью API и можем войти в систему пользователя и снова начать получение данных.
Мой вопрос заключается в том, считают ли люди это достаточно надежным, или нам также следует хранить PIN-код в облачной базе данных и проверять его через API, а не локально на устройстве.

Подробнее здесь: https://stackoverflow.com/questions/753 ... applicatio