• BYOD应用的安全性


    与普通应用相比,BYOD由于存在客户端软件,以及“记住密码”功能通常会启用,因此对于口令或认证凭据的保护成为区别于传统应用的重中之重。

    一般常见的问题是将用户的口令明文存在手机应用的配置文件中,或虽然使用加密存储但加密密钥也是存在于手机中的。

    鉴于此,手机客户端不建议保存用户口令(即使加密后存储也不建议),如果需要保存认证凭据,可考虑的做法:

    (1) 记住硬件ID,作为对设备或使用人的辅助认证;
    (2) 首次认证使用口令,但口令需要使用服务器公钥进行加密,建立会话前应验证证书的有效性防止中间人劫持;后续的免输密码认证,不靠口令,而是类似SESSION_ID的一个字段,加密存储(可选对称加密或使用服务器证书公钥对此字段进行加密);
    (3) 定期(如一个月)清除会话,要求重新输入口令登录;更换设备要求重新认证;
    (4) 传输通道启用HTTPS,且客户端建立会话前应验证证书的有效性。

    采用以上机制后,遗失手机后的一小段时间内仍有可能被冒用,针对保密要求较高的应用,可结合应用界面的解锁口令或解锁手势以提高保护能力。

    不过,最安全的解决方案还是客户端永远不要“记住密码”,每次登录都进行认证,口令不存储,认证时使用服务器公钥加密然后通过HTTPS通道发给认证服务器进行认证,保存口令的内存变量在使用后马上释放掉。 原创链接: http://www.cnblogs.com/-U2-/p/3499075.html  。

  • 相关阅读:
    CodeForces-455A Boredom
    UVA-12627 Erratic Expansion
    汉诺塔系列问题
    CodeForces-999D Equalize the Remainders
    CodeForces-1061D TV Shows
    CodeForces-1061B Views Matter
    UVALive-7261 Xiongnu's Land
    HDU-4990 Reading comprehension
    -------------------------------用MyBatis处理表与表之间的关联关系----------------------------------
    -------------计算机里面算法-----------
  • 原文地址:https://www.cnblogs.com/-U2-/p/3499075.html
Copyright © 2020-2023  润新知