与普通应用相比,BYOD由于存在客户端软件,以及“记住密码”功能通常会启用,因此对于口令或认证凭据的保护成为区别于传统应用的重中之重。

一般常见的问题是将用户的口令明文存在手机应用的配置文件中,或虽然使用加密存储但加密密钥也是存在于手机中的。

鉴于此,手机客户端不建议保存用户口令(即使加密后存储也不建议),如果需要保存认证凭据,可考虑的做法:

(1) 记住硬件ID,作为对设备或使用人的辅助认证;
(2) 首次认证使用口令,但口令需要使用服务器公钥进行加密,建立会话前应验证证书的有效性防止中间人劫持;后续的免输密码认证,不靠口令,而是类似SESSION_ID的一个字段,加密存储(可选对称加密或使用服务器证书公钥对此字段进行加密);
(3) 定期(如一个月)清除会话,要求重新输入口令登录;更换设备要求重新认证;
(4) 传输通道启用HTTPS,且客户端建立会话前应验证证书的有效性。

采用以上机制后,遗失手机后的一小段时间内仍有可能被冒用,针对保密要求较高的应用,可结合应用界面的解锁口令或解锁手势以提高保护能力。

不过,最安全的解决方案还是客户端永远不要“记住密码”,每次登录都进行认证,口令不存储,认证时使用服务器公钥加密然后通过HTTPS通道发给认证服务器进行认证,保存口令的内存变量在使用后马上释放掉。 原创链接: http://www.cnblogs.com/-U2-/p/3499075.html  。

转载于:https://www.cnblogs.com/-U2-/p/3499075.html

BYOD应用的安全性相关推荐

  1. BYOD是什么,云计算和BYOD之间,主要有什么关系?

    一.什么是BYOD (BringYourOwnDevice)指携带自己的设备办公,这些设备包括个人电脑.手机.平板等移动智能终端设备.BYOD近年来一直呈线性方式在增长.它向人们展现了一个更现代化的办 ...

  2. 360发布企业BYOD安全管理系统360天机

    本文讲的是 : 360发布企业BYOD安全管理系统"360天机"   ,IT168 资讯]12月27日消息,日前,360正式对外发布了企业移动终端安全管理解决方案--360天机.3 ...

  3. BYOD安全保护的“原生态”方法

    企业BYOD的应用潮流是不可逆的,越来越多的企业在追逐这个潮流.安全问题是随之而来企业高管们需要慎重考虑的,他们正在投资构建诸如MDM(移动设备管理).MAM(移动应用管理)的平台,还要在设备连接到组 ...

  4. BYOD时代,如何在企业中保护移动消息传递?

    二十年前,AIM改变了我们的沟通方式.它比电话谈话更私密.如果你在一个小隔间工作,那就特别好,当你需要立即回答时,对话的实时性比电子邮件更有优势,它在当时的便利性是无与伦比的. AOL在2017年正式 ...

  5. BYOD提升企业生产力的5种方式

    自带设备(BYOD)是近年来管理圈流行的一种技术趋势.然而,很多管理者依旧选择忽略它或者贬低它的重要性.BYOD是一个允许员工使用自己私人设备(笔记本,智能手机,平板电脑)访问公司网络的政策. 基于云 ...

  6. 自带设备(BYOD)能用零信任框架吗?

    长期以来,自带设备(BYOD)都被视为办公安全的一大威胁,这主要是因为过去的网络安全方案无法管理这类设备,只能任由其随意访问企业资源. 现在,零信任安全框架正在成为以移动设备为主的远程办公环境的全新安 ...

  7. 解读企业领域热词——BYOD

    BYOD(Bring Your Own Device)意为携带自己的设备办公,这些设备包括个人电脑.手机.平板等(而更多的情况指手机或平板这样的移动智能终端设备.)原本为个人消费者设计的智能手机和平板 ...

  8. BYOD 2.0的安全管理:MAM

    随着越来越多的移动设备涌入企业,BYOD(Bring Your Own Device)已经不再是IT界的趋势,而且是无可置疑的事实.根据Gartner的报告,预计到2013年底,手机将取代电脑成为全球 ...

  9. BYOD是企业网络安全的噩梦还是变革?

    本文讲的是 : BYOD是企业网络安全的噩梦还是变革?   , [IT168专稿]随着云计算.移动等新兴的IT趋势的逐步成熟,BYOD也走进了企业.面对BYOD趋势的入侵,企业用户呈现出了不同的态度, ...

最新文章

  1. 分布式概念-去中心化副本控制实现
  2. 在Office 2007 Word文档中插入两种页码方法
  3. 第六章 深度学习(上中)
  4. ABAP知识:LIKE LINE OF 和LIKE TABLE OF
  5. 【Linux】一步一步学Linux——tcpdump命令(185)
  6. “桌面日历”记录的事件居然是看某某视频……
  7. 2020年前端面试之JS手写代码题合集
  8. 不知为不知--信息论和最大熵原则
  9. 制作芭奇站群软件自定义发布接口命令大全
  10. Mutisim14.0安装后,汉化的详细方法
  11. rounding mode
  12. ChatGPT突遭大面积封号!网友应急出解封教程
  13. vue 大量图片展示_Ant Design of Vue 展示多张图片
  14. 记一个chrome自带input:-internal-autofill-selected背景色样式问题
  15. 回溯法求地图填色实验(剪枝)
  16. SQL的SUBSTR()函数
  17. PHP常见的设计模式之:适配器模式
  18. 传智播客成都java培训中心7月8号基础班开班啦
  19. 工程电磁场——数学基础 P2
  20. fast路由器初始密码 TP-Link、D-Link、ipTIME、Tenda/、Fast水星等路由器恢复出厂设置

热门文章

  1. FFA-Net: Feature Fusion Attention Network for Single Image Dehazing (AAAI 2020)用于单图像去叠的特征融合注意力网络
  2. vscode调试nodejs不要太爽啊
  3. 2022年全国最新中级消防设施操作员模拟题库及答案
  4. 中国新能源汽车行业运作模式与供需形势分析报告2022版
  5. 4-3 求给定精度的简单交错序列部分和
  6. 时序分析(14) GMM (Generalized Method of Moments) with GARCH
  7. 元宇宙:未来or骗局?
  8. 学生台灯护眼灯哪个牌子好性价比高?学生护眼台灯十大牌子
  9. 股票自动交易软件接口支持的语言是什么?
  10. 冷冻电镜聚类中心(2D Class)粒子图像的解析