我正在评估对用户数据的安全性高度重视的消费者黑莓应用程序的要求。看起来像是一家保险公司。这里是我的想法,我可以如何去做。我确信这对其他正在寻找类似东西的人有用设计安全的消费者黑莓应用程序
- 强制用户使用设备密码。 (我猜这是可能的 - 虽然没有检查它)。应用程序可以在设备即将被锁定时以及刚被解锁后请求通知。应用程序特定数据的加密可以在那些时间进行管理。
- 应用程序数据将使用用户密码进行加密。
- 用户凭证将使用设备密码进行加密。
- 数据的远程备份可以通过HTTPS来完成(更好的想法是值得赞赏)
问题:
- 如果用户忘记了设备密码。
- 如果用户忘记了自己的应用程序密码,那么重置密码的最佳方法是什么?
- 如果用户丢失手机,必须完成远程备份并清理应用程序数据。
我对如何实现(3)有一些想法并将分享它们。必须有用户身份的脱机验证,并且管理员必须提供一个通道,用户必须能够通过该通道向设备发送命令以执行擦除应用程序数据。这个想法是,用户总是在控制他的数据。未经用户同意,即使管理员也不能执行诸如清理数据等活动。
在上述方案中,好像用户的密码不需要通过空中传送到服务器。我对么?
感谢,
--Kiran库马尔
感谢您作为黑莓管理员的意见。因此,我将拥有可部署在企业服务器上的不同版本的应用程序。那么,你是说像Roblock或Wavesecure这样的应用程序会被BES管理员列入黑名单?请澄清。谢谢。 – 2009-12-30 06:35:31
他们会通过我,其他管理员可能会有不同的政策。据我所知,没有任何Roblock或Wavesecure和其他人可以做的事情,我无法以更安全的方式处理BES。 – Richard 2009-12-30 21:57:25