如何构建下一代安全移动应用

移动应用生态系统的好处是，它以便利和轻松的方式填补了我们生活的许多方面。糟糕的是，这些应用程序越受欢迎，它们就越容易受到黑客攻击。

随着应用程序在我们的日常个人和职业生活中根深蒂固-使用我们的手机执行金融交易或上传敏感的健康数据-我们的个人数据越来越有被盗和滥用的风险。

那么，你 -- 制造产品的企业家 -- 有责任确保你客户的数据是安全的，远离黑客的访问。通过在每个接触点上实施安全措施，保护客户的私人数据安全的方法是。以下是在构建安全的移动应用程序时要考虑的一些最重要的事情。

1.双因素身份验证

密码可以被黑客入侵或被遗忘。有时候，它们太简单了，任何人都可以尝试几次就猜到。在存储或访问您的私人或机密数据的应用程序上，向黑客丢失密码可能意味着巨大的损失。

双因素密码身份验证有助于解决此问题。它最常见的实现发生在您登录到应用程序并根据服务/产品代码注册通过文本和/或电子邮件发送随机生成的代码时。只有当你输入这个代码，除了你的密码，你才会被允许进入应用程序。

存储或访问敏感数据的应用程序还应记录usersoout，并要求他们每次使用双因素身份验证登录，以确保安全。这将我们引向下一个点。..

2.OAuth2移动应用编程接口安全

你可能以前听说过OAuth。这是一个很好的协议，用于保护来自不受信任的设备的ApI服务，它提供了一种通过令牌身份验证对移动用户进行身份验证的好方法。

OAuth2令牌身份验证的工作方式是，它创建了一个访问令牌，该令牌在一定时间后过期。访问令牌是为用户创建的，并在用户登录时输入用户名和密码时存储在他们的移动设备上。

一旦访问令牌过期，应用程序会重新提示用户输入其登录凭据。

OAuth2不需要用户在不安全的环境中存储ApI密钥。相反，它会生成可以临时存储在不受信任的环境中的访问令牌。

这很好，因为即使黑客以某种方式获得了用户的临时访问令牌，它也会过期。

3.SSL

OActive Labs研究员Ariel Sanchez测试了来自全球最具影响力的前60家银行的40个移动银行应用程序。结果: 40% 的被审计的应用程序没有验证所提供的SSL证书的真实性。许多应用程序 (90%) 在整个应用程序中都包含多个非SSL链接。

此场景允许攻击者拦截流量并注入任意JavaScript/HTML代码，以尝试创建虚假的登录提示或执行asimilar骗局。

移动应用程序通常无法正确实现SSL验证，因此容易受到中间人 (MITM) 主动攻击。使用SSL/TLS与远程服务器通信的应用程序应检查服务器证书。

4.加密

AES是高级加密标准，是目前对称密钥密码学中最流行的算法之一。这也是 “金标准” 加密技术; 许多注重安全的公司实际上要求其员工在所有通信中使用AES-256 (256位AES)。

公司应始终使用安全社区认为强大的现代算法: 考虑使用256位密钥进行加密的AES，以及用于散列的SHA-512。

确保用户数据的安全性使您的应用程序对客户更具吸引力，并有助于建立信任因素。不用说，信任也会增加你获得和留住更多客户的机会。