您的位置首页 >网络行情 >

如何构建下一代安全的移动应用程序

移动应用生态系统的好处在于,它为我们的生活带来了便利和轻松。不好的是,这些应用程序越受欢迎,它们越容易受到黑客攻击。

随着应用在我们的日常个人和专业生活中变得更加根深蒂固-使用我们的手机执行财务交易或上传敏感的健康数据-我们的个人数据越来越有被盗和滥用的风险。

那么,您(制造产品的企业家)的责任就在您身上,以确保客户的数据安全无虞,远离黑客的访问。保护客户私人数据安全的方法是在每个接触点实施安全措施。这是构建安全的移动应用程序时要考虑的一些最重要的事情。

1.两因素认证

密码可能会被黑客入侵或被忘记。有时,它们是如此简单,任何人都可以尝试一下。在存储或访问您的私人或机密数据的应用程序上,向黑客丢失密码可能意味着巨大的损失。

两因素密码验证有助于解决此问题。它最常见的实现是在您登录应用程序时,并根据基于服务/产品注册的代码通过文本和/或电子邮件发送随机生成的代码。仅当您输入此代码以及密码时,才允许您输入该应用程序。

存储或访问敏感数据的应用程序还应该注销用户,并要求他们每次使用两因素身份验证进行登录以确保安全。这将我们引向下一个要点。。。

2. OAuth2用于移动API的安全性

您可能以前曾经听说过OAuth。这是用于保护来自不受信任设备的API服务的出色协议,它提供了一种通过令牌身份验证来验证移动用户的好方法。

OAuth2令牌认证的工作方式是,它创建一个访问令牌,该令牌在一定时间后会过期。访问令牌是为用户创建的,并在用户登录时输入用户名和密码时存储在其移动设备上。

访问令牌过期后,应用程序会再次提示用户输入其登录凭据。

OAuth2不需要用户在不安全的环境中存储API密钥。相反,它会生成可暂时存储在不受信任的环境中的访问令牌。

这行之有效,因为即使黑客以某种方式掌握了用户的临时访问令牌,该令牌也会过期。

3. SSL

OActive Labs的研究人员Ariel Sanchez对来自全球60家最具影响力的银行的40种移动银行应用程序进行了测试。结果:40%的经过审核的应用程序未验证所提供的SSL证书的真实性。许多应用程序(占90%)在整个应用程序中包含多个非SSL链接。

这种情况允许攻击者拦截流量并注入任意JavaScript / HTML代码,以试图创建假登录提示或进行类似的欺诈。

移动应用程序通常无法正确实现SSL验证,从而使其容易受到主动的中间人(MITM)攻击。使用SSL / TLS与远程服务器通信的应用程序应检查服务器证书。

4.加密

AES(高级加密标准)当前是对称密钥加密中使用的最受欢迎的算法之一。这也是“黄金标准”加密技术。许多安全意识强的公司实际上要求其员工使用AES-256(256位AES)进行所有通信。

公司应始终使用安全社区强烈推荐的现代算法:将AES与256位密钥一起用于加密,将SHA-512与哈希一起使用。

确保用户数据的安全性使您的应用程序对客户更具吸引力,并有助于建立信任因素。不用说,信任也会增加您获得和保留更多客户的机会。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。