成都APP開發(fā)公司

(1)多種驗(yàn)證機(jī)制

在基本的密碼驗(yàn)證機(jī)制上,采取動(dòng)態(tài)電子口令卡、預(yù)留信息驗(yàn)證、短信動(dòng)態(tài)密碼等二次驗(yàn)證機(jī)制,在采用二次驗(yàn)證機(jī)制時(shí)應(yīng)避免驗(yàn)證路徑與授權(quán)發(fā)起路徑重疊。如果手機(jī)硬件條件允許,應(yīng)盡可能采取指紋、人臉、虹膜等生物識別技術(shù)以強(qiáng)化驗(yàn)證級別。

成都APP開發(fā)公司

(2)強(qiáng)密碼機(jī)制

無論計(jì)算機(jī)還是手機(jī)應(yīng)用,用戶名密碼機(jī)制都是目前最普及的授權(quán)驗(yàn)證手段,通常也是登錄系統(tǒng)的第一道防線,而強(qiáng)度較低的密碼無疑讓密碼驗(yàn)證機(jī)制的安全性大打折扣。因此,手機(jī)銀行客戶端在設(shè)置登錄口令時(shí)應(yīng)采取強(qiáng)密碼機(jī)制。

成都APP開發(fā)公司

(3)行為模式分析策略

用戶的行為模式通常具有規(guī)律性,如大部分人經(jīng)常出現(xiàn)在某個(gè)城市的某些區(qū)域,即便出差旅行,也不可能前后幾分鐘便相差上百公里。因此,商業(yè)銀行可在取得用戶同意的前提下,采集用戶的手機(jī)型號、手機(jī)號碼、各時(shí)間段的地理位置、登錄IP、密碼錯(cuò)誤次數(shù)等信息,建立每個(gè)用戶的行為模式,銀行后臺系統(tǒng)對每次授權(quán)驗(yàn)證請求均進(jìn)行行為模式的分析,一旦發(fā)現(xiàn)行為異常,應(yīng)立即提高身份驗(yàn)證級別甚至終止業(yè)務(wù)辦理,并由客服人員通過預(yù)留的手機(jī)號聯(lián)系客戶進(jìn)行確認(rèn)。這種策略不僅可以大大降低手機(jī)失竊之后的風(fēng)險(xiǎn),也可防范假冒、中人等網(wǎng)絡(luò)攻擊。

成都APP開發(fā)公司

(4)密碼控件

密碼控件是運(yùn)行在Web端與服務(wù)器端用來保護(hù)密碼明文的端到端加密工具。用戶在手機(jī)輸入登錄密碼和轉(zhuǎn)賬密碼后,客戶端首先利用和手機(jī)銀行服務(wù)器端協(xié)商的密碼加密公鑰對輸入密碼加密,然后經(jīng)過數(shù)據(jù)傳輸,最后由手機(jī)銀行服務(wù)器完成通信鏈路的解密,由手機(jī)銀行應(yīng)用服務(wù)器發(fā)往核心進(jìn)行密碼驗(yàn)證。手機(jī)網(wǎng)頁中用戶輸入密碼后,網(wǎng)頁中會(huì)存有明文不夠安全的風(fēng)險(xiǎn),所以,需要使用手機(jī)本地程序,調(diào)用隨機(jī)產(chǎn)生的按鈕出現(xiàn)隨機(jī)的鍵盤來完成。

成都APP開發(fā)公司

(5)執(zhí)行用戶身份合法性認(rèn)證

移動(dòng)終端的便攜性導(dǎo)致其很容易被丟失,同時(shí)也是被盜的主要對象。為了防止這種情況發(fā)生而導(dǎo)致第三者登錄支付App進(jìn)行惡意支付,需要定義一套完善的用戶身份合法性認(rèn)證機(jī)制:如果是借記卡,驗(yàn)證要素可以是客戶端登錄賬戶(唯一)、支付密碼和短信驗(yàn)證碼;如果是貸記卡,驗(yàn)證要素可以為客戶端登錄賬戶(唯一1D)、卡片有效期、CWV(卡驗(yàn)證數(shù)和短信驗(yàn)證碼,這些方法能幫助應(yīng)對安全威脅。

成都APP開發(fā)公司