与普通应用相比,BYOD由于存在客户端软件,以及“记住密码”功能通常会启用,因此对于口令或认证凭据的保护成为区别于传统应用的重中之重。
一般常见的问题是将用户的口令明文存在手机应用的配置文件中,或虽然使用加密存储但加密密钥也是存在于手机中的。
鉴于此,手机客户端不建议保存用户口令(即使加密后存储也不建议),如果需要保存认证凭据,可考虑的做法:
(1) 记住硬件ID,作为对设备或使用人的辅助认证;
(2) 首次认证使用口令,但口令需要使用服务器公钥进行加密,建立会话前应验证证书的有效性防止中间人劫持;后续的免输密码认证,不靠口令,而是类似SESSION_ID的一个字段,加密存储(可选对称加密或使用服务器证书公钥对此字段进行加密);
(3) 定期(如一个月)清除会话,要求重新输入口令登录;更换设备要求重新认证;
(4) 传输通道启用HTTPS,且客户端建立会话前应验证证书的有效性。
采用以上机制后,遗失手机后的一小段时间内仍有可能被冒用,针对保密要求较高的应用,可结合应用界面的解锁口令或解锁手势以提高保护能力。
不过,最安全的解决方案还是客户端永远不要“记住密码”,每次登录都进行认证,口令不存储,认证时使用服务器公钥加密然后通过HTTPS通道发给认证服务器进行认证,保存口令的内存变量在使用后马上释放掉。 原创链接: http://www.cnblogs.com/-U2-/p/3499075.html 。