Le "VPN" e "Pinning certificati" hanno scopi diversi?

Naviga le tue risposte
0

Ho un'applicazione mobile (ioS) che solo alcuni utenti sono autorizzati a usare e che è codificata in modo tale da poter accedere solo usando VPN protetta (con token) per accedere ai nostri server di rete interni per il recupero dei dati .

Il mio auditor richiede che, in base alle buone pratiche, tutto lo sviluppo di app mobili dovrebbe cercare di incorporare il blocco dei certificati.

Vorrei sfidare questo argomento: usare la VPN con il fattore multi è, a mio parere, sufficiente perché entrambi sono metodi di autenticazione e ci consente di sapere chi sta realmente utilizzando l'app. La mia app mobile non è un'app basata su Internet e il server database da cui l'app recupera i dati è ospitato internamente.

Quindi la mia domanda è: I Pinning VPN e Cert servono a scopi diversi o sono approssimativamente equivalenti?

    
posta dorothy 03.02.2015 - 16:12
fonte

1 risposta

0

qui ci sono diversi scenari a cui pensare.

A) L'utente perde il dispositivo mobile. Il certificato appuntato protegge solo il telefono tanto quanto la password incorporata.
     1) l'utente perde il dispositivo in una parte interna malevola. Senza una password iOS, 3rd party si interrompe in rete con le credenziali NT / LDAP di quegli utenti
     2) l'utente perde il dispositivo a una parte esterna. Una password sicura protegge il dispositivo perso

B) L'utente perde il dispositivo mobile. La VPN non può essere utilizzata da nessun altro, perché il token è ancora collegato all'utente.

     1) Il token VPN viene perso con il dispositivo: il token viene revocato dall'amministratore
     2) Il token viene mantenuto: il token è associato a un altro dispositivo

C) Associato all'autenticazione tramite impronta digitale in iOS.

     1) Il certificato aggiunto continuerà a funzionare come previsto      2) Il token VPN funge da altro livello di protezione
       -------------
C2 servirebbe bene per il governo e dove è richiesta la sicurezza assoluta
C1 avrebbe usato in Banking, Finanza, Salute B2 è nell'istruzione, nella ricerca, nella produzione

B1 e oltre sono scenari peggiori. Pianifica di non averli.

    
risposta data 03.02.2015 - 17:28
fonte

Leggi altre domande sui tag

Brute-forzando una password della chiave privata RSA rispetto al volume LUKS Proxpy- problema con certificato