Protezione dell'app di pagamento mobile contro il furto di dispositivi mobili

Naviga le tue risposte
1

Attualmente sto progettando un'app di pagamento. Ha i controlli di sicurezza standard come la comunicazione HTTPS, blocco dei certificati, nessuna cache, login con 2FA (OTP), 2FA per l'operazione di pagamento .. ma non sono sicuro di come proteggere l'utente da un furto di telefonia mobile. Un ladro può reimpostare la password a causa del fatto che l'utente di solito ha effettuato l'accesso all'app di posta elettronica, l'autenticazione biometrica può essere facilmente aggirata a causa della compatibilità e dei requisiti UX, le domande segrete sono solitamente facili da indovinare.

Ci sono altre misure che possono essere fatte al fine di eliminare il danno da furto mobile?

    
posta user161736 01.08.2018 - 19:33
fonte

2 risposte

1

Esaminiamo i calcoli di controllo di accesso di base con i loro pro e contro relativi al tuo caso di furto del dispositivo:

Qualcosa che conosci

Riferendosi a password, passphrase, codici PIN, domande segrete.

Pro:

Può essere difficile per il ladro "crackare" questo fattore, specialmente se si applica una politica strong. Puoi mitigare la preoccupazione di reimpostare la password tramite un'email utilizzando una sfida (ad esempio, una domanda segreta strong, forse basata su attività recenti) come passaggio obbligato per la reimpostazione della password.

per esempio:

Where did you make your recent payment? to whom?

Contro:

Questo è considerato il fattore più debole tra gli altri che citerò e, in caso di furto, sarà facilmente modificato senza il meccanismo sopra descritto.

Qualcosa che hai

Un token fisico che la tua applicazione può scansionare usando RFID, NFC, ecc.

Pro:

Fornisce un livello di sicurezza più elevato purché il token non sia vicino al dispositivo stesso

Contro:

Caro, forse eccessivo. Anche l'esperienza utente potrebbe essere pessima.

Qualcosa che sei

La biometria; impronta digitale, scansione dell'iride, analisi vocale, analisi comportamentale (autenticazione continua)

Pro:

Considerato il fattore più strong, lo standard del settore, la maggior parte dei dispositivi di oggi ha questo hardware che puoi utilizzare.

Contro:

L'autenticazione biometrica ha i suoi errori; rifiuto errato dell'utente e errore di accettazione di un'entità non autorizzata (ad esempio: immagine stampata, persona identica, ecc.)

TLDR:

puoi applicare un questionario segreto strong su operazioni sensibili (transazioni, richieste di reimpostazione della password, ecc.), puoi aggiungere un token fisico o verificare il client su operazioni sensibili basate su dati biometrici

    
risposta data 02.08.2018 - 17:46
fonte
0

Solo se non lo hai già letto, ti consiglio di dare uno sguardo allo standard PCI DSS per la sicurezza dei pagamenti mobili:

link

Rendere la tua app di pagamento conforme al PCI dovrebbe essere il tuo obiettivo numero uno in termini di sicurezza. Dopodiché, se pensi di poter rafforzare la sicurezza della tua app, vai avanti!

    
risposta data 02.08.2018 - 20:31
fonte

Leggi altre domande sui tag

principio di divisione dei dati sensibili su più macchine che eseguono sistemi operativi diversi Hydra non corrisponde alla password fornita nel file