Urządzenia mobilne pozwalają nam robić prawie wszystko online-z dowolnego miejsca i w dowolnym czasie. Możesz robić przelewy, sprawdzać konto, kontrolować inne urządzenia, robić zakupy, a nawet pracować zdalnie. Możesz korzystać z wielu aplikacji mobilnych, które łączą się z interfejsami API i serwerami na całym świecie. Zapewniają wygodę i komfort użytkownikom. Jednak musisz pamiętać o przestrzeganiu podstawowych zasad bezpieczeństwa.

Zabezpiecz aplikacje

Chroń aplikacje za pomocą odpowiedniego szyfrowania. Kod powinien być tajny i trudny do odczytania. Wybieraj nowoczesne i odpowiednio obsługiwane algorytmy połączone z mocnym szyfrowaniem.

Przetestuj kod pod kątem luk lub uruchom skanowanie kodu źródłowego. Ulepszony, bezpieczny kod aplikacji powinien być przenośny między urządzeniami i systemami operacyjnymi, a także łatwy do poprawienia i aktualizacji.

Podczas dodawania zabezpieczeń do aplikacji  pamiętaj o rozmiarach plików, pamięci runtime, wydajności i zużyciu danych i baterii. Chcesz, aby Twój telefon był bezpieczny, ale nie kosztem wydajności i wygody.

Nie polegaj tylko na opiniach w sklepie z aplikacjami o tym, że dana aplikacja jest bezpieczna. Byłby to poważny błąd. Aplikacje muszą być testowane i zatwierdzane, ale procesy zatwierdzania w sklepie z aplikacjami nie są w 100% niezawodne, a w przeszłości niektóre niebezpieczne aplikacje były zatwierdzane.

Bezpieczne połączenia sieciowe

Pamiętaj o bezpiecznym przechowywaniu danych i dokumentów na smartfonie. Sprawdź, dzięki odpowiednim testom, czy ważne dane są odpowiednio chronione. Szyfrowane bazy danych i szyfrowane połączenia z VPN (wirtualną siecią prywatną), SSL lub TLS zwiększają bezpieczeństwo.

Ważny jest system zabezpieczeń, który rozdziela zasoby między serwerami. Wtedy nie wszystkie znajdują się w jednym miejscu i oddzielają kluczowe zasoby od użytkowników, często za pomocą odpowiednich środków szyfrujących.

Wprowadź środki identyfikacji, uwierzytelniania i autoryzacji

Jeśli Twoja aplikacja korzysta z funkcji API innej osoby dla Twojej funkcji, zachowaj szczególną ostrożność. Nie licz, że ich kod jest 100% bezpieczny. Upewnij się, że interfejsy API używane przez Twoją aplikację zapewniają dostęp tylko do części aplikacji, które są absolutnie niezbędne, aby zminimalizować ryzyko ataku.

OAuth2 stał się złotym standardem protokołu do zarządzania bezpiecznymi połączeniami za pomocą jednorazowych tokenów użytkownika. Zainstalowanie tego protokołu na serwerze autoryzacji i dostosowanie go do własnych potrzeb pozwoli udzielić użytkownikowi uprawnień między klientem a końcowymi użytkownikami, zbierając listy uwierzytelniające, takie jak dwuskładnikowe pytania SMS.

Żetony internetowe JSON do szyfrowanej wymiany danych są lekkie i idealne do zabezpieczenia mobilnego.

OpenID Connect to protokół federacyjny opracowany dla urządzeń mobilnych. Umożliwia użytkownikom ponowne użycie tych samych list uwierzytelniających w wielu domenach z tokenem identyfikacyjnym, dzięki nie musisz rejestrować się i logować w każdym miejscu.