移动应用生态系统的好处是,它以便利和轻松的方式填补了我们生活的许多方面。糟糕的是,这些应用程序越受欢迎,它们就越容易受到黑客攻击。
随着应用程序在我们的日常个人和职业生活中根深蒂固-使用我们的手机执行金融交易或上传敏感的健康数据-我们的个人数据越来越有被盗和滥用的风险。
那么,你 -- 制造产品的企业家 -- 有责任确保你客户的数据是安全的,远离黑客的访问。通过在每个接触点上实施安全措施,保护客户的私人数据安全的方法是。以下是在构建安全的移动应用程序时要考虑的一些最重要的事情。
密码可以被黑客入侵或被遗忘。有时候,它们太简单了,任何人都可以尝试几次就猜到。在存储或访问您的私人或机密数据的应用程序上,向黑客丢失密码可能意味着巨大的损失。
双因素密码身份验证有助于解决此问题。它最常见的实现发生在您登录到应用程序并根据服务/产品代码注册通过文本和/或电子邮件发送随机生成的代码时。只有当你输入这个代码,除了你的密码,你才会被允许进入应用程序。
存储或访问敏感数据的应用程序还应记录usersoout,并要求他们每次使用双因素身份验证登录,以确保安全。这将我们引向下一个点。..
你可能以前听说过OAuth。这是一个很好的协议,用于保护来自不受信任的设备的ApI服务,它提供了一种通过令牌身份验证对移动用户进行身份验证的好方法。
OAuth2令牌身份验证的工作方式是,它创建了一个访问令牌,该令牌在一定时间后过期。访问令牌是为用户创建的,并在用户登录时输入用户名和密码时存储在他们的移动设备上。
一旦访问令牌过期,应用程序会重新提示用户输入其登录凭据。
OAuth2不需要用户在不安全的环境中存储ApI密钥。相反,它会生成可以临时存储在不受信任的环境中的访问令牌。
这很好,因为即使黑客以某种方式获得了用户的临时访问令牌,它也会过期。
OActive Labs研究员Ariel Sanchez测试了来自全球最具影响力的前60家银行的40个移动银行应用程序。结果: 40% 的被审计的应用程序没有验证所提供的SSL证书的真实性。许多应用程序 (90%) 在整个应用程序中都包含多个非SSL链接。
此场景允许攻击者拦截流量并注入任意JavaScript/HTML代码,以尝试创建虚假的登录提示或执行asimilar骗局。
移动应用程序通常无法正确实现SSL验证,因此容易受到中间人 (MITM) 主动攻击。使用SSL/TLS与远程服务器通信的应用程序应检查服务器证书。
AES是高级加密标准,是目前对称密钥密码学中最流行的算法之一。这也是 “金标准” 加密技术; 许多注重安全的公司实际上要求其员工在所有通信中使用AES-256 (256位AES)。
公司应始终使用安全社区认为强大的现代算法: 考虑使用256位密钥进行加密的AES,以及用于散列的SHA-512。
确保用户数据的安全性使您的应用程序对客户更具吸引力,并有助于建立信任因素。不用说,信任也会增加你获得和留住更多客户的机会。
版权及免责声明:凡本网所属版权作品,转载时须获得授权并注明来源“融道中国”,违者本网将保留追究其相关法律责任的权力。凡转载文章,不代表本网观点和立场。
延伸阅读
版权所有:融道中国