移动应用安全开发要求(2,密码安全)

最新推荐文章于 2023-07-03 20:42:43 发布
最新推荐文章于 2023-07-03 20:42:43 发布
阅读量393 收藏 1
点赞数
分类专栏: android C/C++ 文章标签: java android ios 小程序
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/s_include/article/details/115391526
版权

Android开发 密码安全 安全策略 传输加密 会话管理
关键词由CSDN通过智能技术生成

通常,移动应用的生命周期包括可行性分析与项目开发计划、需求分析、设计、编码、测试、维护等活动,这种按时间分配不同任务的思想方法是软件工程中的一种重要思想原则,即按部就班、逐步推进,每个阶段都要有各自的定义、工作、审查、形成文档以便工作交流或备查,进而达到提高软件质量的目的。

目前,按照应用开发生命周期的思想进行软件设计和开发的理念已经得到广大软件设计和开发人员的广泛认同,但是在应用开发生命周期中对安全性的考虑则往往被忽略,进而产生了很多的软件产品漏洞,给使用应用的人们带来很多工作生活上的不便,甚至造成巨大的经济损失。

图片

    在本文中,我们探讨Android应用程序开发过程中对于密码都有哪些安全开发要求。

密码安全

    采用适当的密码管理策略,保证密码的生成、存储、传输、使用等环节的安全。

图片

密码生成

  • 符合国家密码管理规定和标准密码技术;

  • 定期更换密钥;

  • 禁止弱密码;

  • 采用一种或几种有效的方法防止密码的暴力猜解;

  • 应具有防范暴力破解静态密码的保护措施;

 

    密码存储

  • 禁止明文存储密钥、禁止本地存储密钥、禁止硬编码形式存储密钥、关闭Webview自动保存密码功能、禁止不安全的SharedFrefs配置导致密码泄露;

  • 输入密码等敏感信息时,输入框使用自定义软键盘;

  • 用户输入登录密码/支付密码等其它密码时,应提供及时加密功能;

     

    密码传输

  • 客户端的登录加密机制至少采用HTTPS协议或HTTP+自加密;

  • 在传输过程中或存储在任何应用组件中,加密所有密码;

     

    密码使用

  • 新旧密码不允许相同,如有初始密码,首次登录时应强制客户修改初始密码;

  • 在登录界面、转账界面等填写登录名和密码,在切出后,必须清除输入的信息;

  • 会话超时保护,移动终端在超过5分钟无操作后,会话超时并要求重新登录;

  • 输入密码等敏感信息时,禁用屏幕录像;

manxiSafe
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
移动应用安全开发要求(3,访问控制)
s_include的专栏
04-02 404
通常,移动应用的生命周期包括可行性分析与项目开发计划、需求分析、设计、编码、测试、维护等活动,这种按时间分配不同任务的思想方法是软件工程中的一种重要思想原则,即按部就班、逐步推进,每个阶段都要有各自的定义、工作、审查、形成文档以便工作交流或备查,进而达到提高软件质量的目的。 目前,按照应用开发生命周期的思想进行软件设计和开发的理念已经得到广大软件设计和开发人员的广泛认同,但是在应用开发生命周期中对安全性的考虑则往往被忽略,进而产生了很多的软件产品漏洞,给使用应用的人们带来很多工作生活上的不便,甚至造成巨大
移动应用安全开发要求(1,源码安全
s_include的专栏
04-01 476
移动应用安全开发要求(源码安全) 近十年,移动互联网的飞速发展,智能移动终端在人们学习、工作和生活中的普及率越来越高,手机终端的广大用户群体的良好体验正吸引着越来越多的开发应用者参与到手机应用程序的开发和使用中来,但是部分免费开源的平台特性不仅给予了开发者更广阔的开发空间,也给使用者增加了许多安全隐患,即使有基于自主平台上开发移动应用,也会遭到黑客攻击,存在一定的安全隐患。 相关数据显示,89%的热门应用存在仿冒,18个行业的Top10应用中98%的应用都存在漏洞。这些漏洞一旦被利用,将会...
移动应用APP安全开发要求安全检测标准-android
03-19
本文根据owasp出具的2016移动应用top10的checklist翻译而来,适用于所有android应用
移动开发安全
Tech In Depth
03-15 310
最近在研究iOSAndroid与服务器通信是否要开启双向验证问题。 发现有两本书值得参考,在这发出来,有同样兴趣的请留言,我们一起探讨。 1.《iOS Application Security-The Definitive Guide for Hackers and Developers》 这是关于iOS安全的比较好的书,这本书网上购买英文原书太贵了,所以找了一本电子版,希望有需要...
从研发角度,移动APP的密码安全
lucky_girl11的博客
04-07 875
移动APP应用开发安全 --- 帐号密码安全 先看下一些软件是如何保存用户密码的: 我们先来看下QQ是怎么保存密码的: 参考:http://bbs.pediy.com/archive/index.php?t-159045.html, 桌面QQ在2012的时候把密码md5计算之后,保存到本地加密的Sqlite数据库里。 再来看下手机淘宝是怎么做的: 参考:http://blog.csdn
网络安全等级保护2.0中密码技术应用要求(解读版资料)
12-26
* 移动应用软件开发:应保证开发移动业务应用软件的签名证书合法性。 物联网安全扩展要求: * 安全建设管理:应确保物联网设备的安全测试报告包含密码应用安全性测试相关内容。 网络安全等级保护2.0中密码技术...
移动金融应用安全白皮书.pdf
02-18
这些政策涵盖了数据安全、隐私保护、合规运营等多个方面,要求移动应用开发商加强安全措施,确保应用的合规性。 ##### (三)5G时代移动金融应用发展 5G技术的到来为移动金融应用带来了新的发展机遇。更高的数据...
移动应用APP安全开发基线-V1.0(IOS)1
08-08
移动应用APP安全开发基线是针对iOS平台的重要指导文档,旨在确保在开发过程中遵循最佳的安全实践,以防止潜在的安全威胁和数据泄露。该基线强调了安全编码的重要性,旨在为开发者提供一套完整的安全规范和基线,以...
移动应用安全控制和设计原则TOP10
04-25
移动应用开发过程中,确保设备上敏感数据的安全至关重要。这一环节涉及的风险主要包括废弃设备可能导致的敏感信息泄露。为降低这类风险,开发者需采取一系列措施: - **1.1 数据分类与API安全审查**:在应用的...
中职移动应用开发 一部分真题+一些题解
最新发布
12-18
【中职移动应用开发】是教育领域中针对中等职业教育的一项考试或竞赛,旨在培养学生的数字技术和移动应用设计能力,以适应快速发展的数字经济时代。竞赛内容分为三个模块:A模块是移动应用界面设计,B模块是移动应用...
Web的脆弱性:各种注入、攻击
teletian的专栏
12-23 1万+
SQL注入 所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 通过一下的例子更形象的了解SQL注入: 有一个Login画面,在这个Login画面上有两个文本框分别用来输入用户名和密码,当用户点了登录按钮的时候,会对输入的用户名和密码进行验证。验证的SQL语句如下: select * from st
移动应用安全开发-转载
FredaMJ的博客
06-05 215
https://blog.csdn.net/alice_tl/article/details/80216623 https://www.cnblogs.com/fishou/p/4222263.html
移动app安全开发(一)之入门图
Chris's note
03-15 316
移动app安全开发图: 移动手机开发安全 IOSANDROID现在都比较成熟了,所以对知识大多都是整理整和资料。 华为新出的KIRIN OS不知道会什么时候公布。 ...
移动应用的数据加密和安全存储:保护用户的敏感信息
2201_76125261的博客
07-03 547
数据加密和安全存储是移动应用开发中重要的功能之一,用于保护用户的敏感信息不被恶意攻击者获取或篡改。在本文中,我们讲解了数据加密和安全存储的基本原理、常用的加密算法和安全存储技术,并提供了一个示例来展示如何在iOS应用中实现这些功能。通过合理选择加密算法和安全存储技术,并正确实现加密和解密操作,我们可以为移动应用提供更高的数据安全性,保护用户的敏感信息。希望本文对你理解如何在移动应用中实现数据加密和安全存储功能有所帮助。
移动安全入门指南
ruglcc's blog
03-06 1482
声明:原创文章,转载请备注来源:https://shuwoom.com/?p=893 以前花了将近一年多的时间学习移动安全,期间也遇到了各种坑,特别是学习Android加固的知识,由于Android加固技术门槛比较高,在网上想要找到系统的资料还是很困难的,一些相关的入门资料也比较少。在这里,我也把自己以前学习的经历和遇到的坑做一些总结,希望能给一些刚入门移动安全行业的同学一些参考,避免入坑。 ...
移动App该如何保存用户密码
热门推荐
横云断岭的专栏
06-28 5万+
  update 2018-06-04 2015年出的一个规范 JSON Web Token (JWT)  https://tools.ietf.org/html/rfc7519  JWT 官网: https://jwt.io/   八幅漫画理解使用JSON Web Token设计单点登录系统: http://blog.leapoahead.com/2015/09/07/user-auth...
移动安全交互-加密过程场景解析
baby_hua的专栏
03-30 2149
对于移动应用安全交互在金融类似的领域要求比较高;在一些对数据比较敏感的应用中也有类似的要求;今天找时间就把我所知道的和大家分享下,本文算是科普文,想深入了解的同学请自行阅读相关书籍;概要:首先我们需要区分几个比较重要的概念:摘要、签名和加密;之后我们介绍实现这些过程的方式-密码学基础; 1.哈希函数; 2.对称加密; 3.非对称加密;最后我们介绍几个常用的加密算法: 哈希...
web密码编写要求
panzhao007的博客
06-15 639
web密码编写要求 //自定义命名规则 jQuery.validator.addMethod("password", function(value, element, param) { var pwdRegex = new RegExp('(?=.*[0-9])(?=.*[a-zA-Z])(?=.*[^a-zA-Z0-9]).{8,20}'); if (!pwdRegex.test(value)) { result=f
个人密码安全策略
u013634970的专栏
03-08 648
我们现在处于网络时代,时常要登录各种网站、论坛、邮箱、网上银行等等,这些访问常需要帐户+密码的身份认证,因此我们不断地注册用户,就有了数不清的网络帐户和密码。大多数人为了便于记忆,习惯只用一个常用的网络用户名、邮箱和密码,这是非常危险的。那么,网上的密码我们应该怎么设置,才能相对安全一些呢?   总的来说,个人密码安全需要遵循如下几个简单的要求:对于不同的网络系统使用不同的密码,对于重要的系统使
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值