Proteger la aplicación móvil de pago contra el robo de dispositivos móviles

Navega tus respuestas
1

Actualmente estoy diseñando una aplicación de pago. Tiene los controles de seguridad estándar, como la comunicación HTTPS, la fijación de certificados, no la memoria caché, el inicio de sesión con 2FA (OTP), 2FA para la operación de pago ... pero no estoy seguro de cómo proteger al usuario contra un robo de dispositivos móviles. Un ladrón puede restablecer la contraseña debido a que el usuario normalmente inició sesión en la aplicación de correo electrónico, la autenticación biométrica se puede omitir fácilmente debido a la compatibilidad y los requisitos de UX, las preguntas secretas suelen ser fáciles de adivinar.

¿Se pueden realizar otras medidas para eliminar los daños causados por el robo de dispositivos móviles?

    
pregunta user161736 01.08.2018 - 19:33
fuente

2 respuestas

1

Permítanos revisar los puntos básicos de control de acceso con sus pros y sus contras relacionados con su caso de robo de dispositivos:

Algo que sabes

Refiriéndose a contraseñas, frases de contraseña, códigos PIN, preguntas secretas.

Pros:

Puede ser un momento difícil para el ladrón "descifrar" este factor tal como está, especialmente si aplica una política firme. Puede mitigar la preocupación de restablecer la contraseña a través de un correo electrónico utilizando un desafío (por ejemplo, una pregunta secreta, quizás basada en actividades recientes) como un paso indispensable para restablecer la contraseña.

por ejemplo:

  

¿Dónde hiciste tu pago reciente? a quien?

Contras:

Este se considera el factor más débil entre los otros que mencionaré, y de hecho, en caso de robo, se cambiará fácilmente sin el mecanismo mencionado anteriormente.

Algo que tienes

Un token físico que su aplicación puede escanear utilizando RFID, NFC, etc.

Pros:

Proporciona un mayor nivel de seguridad siempre que el token no esté cerca del dispositivo en sí

Contras:

Caro, tal vez una exageración. La experiencia del usuario también puede ser mala.

Algo que eres

biometría; huella digital, escaneo del iris, análisis de voz, análisis de comportamiento (autenticación continua)

Pros:

Considerado como el factor más importante, el estándar de la industria, la mayoría de los dispositivos de hoy cuentan con este hardware para su uso.

Contras:

La autenticación biométrica tiene sus errores; rechazo falso del usuario y error de aceptación de una entidad no autorizada (por ejemplo: imagen impresa, persona parecida, etc.)

TLDR:

puede imponer un fuerte cuestionario secreto en operaciones confidenciales (transacciones, solicitudes de restablecimiento de contraseñas, etc.), puede agregar un token físico o verificar el cliente en operaciones confidenciales basadas en datos biométricos

    
respondido por el Harel M 02.08.2018 - 17:46
fuente
0

Solo si aún no lo ha leído, le recomendaría que consulte el estándar de la Guía de seguridad de pago móvil de PCI DSS:

enlace

Hacer su aplicación de pago compatible con PCI debe ser su principal objetivo en términos de seguridad. Después de eso, si crees que puedes fortalecer la seguridad de tu aplicación, ¡adelante!

    
respondido por el franpen 02.08.2018 - 20:31
fuente

Lea otras preguntas en las etiquetas

principio de dividir datos confidenciales en múltiples máquinas que ejecutan diferentes sistemas operativos ¿Contra qué ataques protege la Política de seguridad de contenido basi-uri?