4.1.1.1鉴别方式

鉴别方式

一般要求:

a) 按照自愿的原则,在注册时对用户进行基于移动号码等真实身份信息的鉴别;

条款来源:根据2016年6月28日,《移动互联网应用程序信息服务管理规定》由国家互联网信息办公室发布,自2016年8月1日起实施。
第七条 移动互联网应用程序提供者应当严格落实信息安全管理责任,依法履行以下义务:
(一)按照“后台实名、前台自愿”的原则,对注册用户进行基于移动电话号码等真实身份信息认证。
条款解读:就是显示给其他用户的可以是自定义的昵称,但是你的真实信息(电话号码等与真实姓名一一对应)需要录入到数据库中,也就是你的实名和昵称一一对应。

b) 对于用户鉴别信息修改等重要业务操作,移动应用软件应进行二次鉴权,避免用户身份被冒用。

条款解读:二次鉴权是为了用户资料的保密和安全而设置的。首先通过服务密码进行一次鉴权之后,再通过随机短信将二次鉴权密码发送到客户手机上,客户通过输入该二次鉴权密码,进行身份确认的过程。一般用于已经登录以后,比如10086网站,登录时第一次鉴权,如果您需要操作更加敏感的操作,比如查看详细话费清单,所以还需要再次对您实行更为严格的验证,比如:短信动态密码验证,这就叫二次鉴权。

增强要求:

a) 移动应用软件登录应采用两种或两种以上的要素对用户身份进行鉴别;短信验证码不宜作为第二种身份鉴别方式。

条款解读:移动应用软件应采用两种或两种以上的要素:除了传统的用户名和密码或短信验证码,还需采用如:指纹识别系统、语音识别系统、面部识别系统、身份证识别SDK、生物识别技术和区块链技术进行数字身份认证。举例:ShoCard是一个将实体身份证件的数据指纹保存在区块链上的服务。用户用手机扫描自己的身份证件,ShoCard应用会把证件信息加密后保存在用户本地,把数据指纹保存到区块链。区块链上的数据指纹受一个私钥控制,只有持有私钥的用户自己才有权修改,ShoCard亦无权修改。同时,为了防范用户盗用他人身份证件扫描上传,ShoCard还允许银行等机构对用户的身份进行背书,确保真实性。另举例:e签宝电子签章。

b) 当移动应用软件进入终端系统后台后,再次被唤醒切换到前台时,应采取措施对用户身份进行鉴别。

条款解读:如下网站解释了app从后台切换到前台验证手势密码,根据实际情况查看和分析具体app时如何查看各源码文件的位置会在以后的文章进行讲解。
http://blog.csdn.net/u012806692/article/details/50845425
附上支付宝MainActivity.java源码截图
这里写图片描述

c) 对于涉及敏感信息修改或转账、支付等重要业务,除密码认证以外,还应采用其他安全认证方式。

条款解读:在进行充值、转账等重要业务操作时,移动应用软件应采用其他安全认证方式。只要采用与登录时不同身份鉴别方式即可。

d) 涉及敏感信息及重要业务操作,应用软件不宜通过第三方帐户,如微博、微信、支付宝等进行认证。

条款解读:金融类理财app不应开放第三方合作站,如微博、微信、支付宝等进行认证。

AnonymousBu wechat
bujun1018
-------------endingThanks for you reading-------------
显示 Gitment 评论
0%