Yaliyomo kujificha
1 Programu ya Kawaida salama
2 Taarifa ya Bidhaa
2.1 Vipimo
2.2 Kuhusu Kiwango
2.3 Kusudi, Mawanda, na Hadhira inayokusudiwa
2.4 Notisi na Mwongozo wa Wasanidi Programu
2.5 Ufafanuzi wa Hati na Marejeleo ya Kawaida
3 Maagizo ya Matumizi ya Bidhaa
3.1 Uthibitishaji
3.1.1 Vidhibiti vya Usalama
3.1.2 AUTHN-BP01 - Uthibitishaji wa Vipengele vingi (MFA)
3.1.2.1 Mwongozo wa Utekelezaji
3.2 Maswali Yanayoulizwa Mara Kwa Mara (FAQ)
3.2.1 Swali: Madhumuni ya Kiwango cha Programu Salama cha CSA ni nini?
3.2.2 Swali: Ni nani hadhira inayolengwa kwa Kiwango cha Programu Salama cha CSA?
3.2.3 Swali: Je, ni faida gani za kutekeleza Uthibitishaji wa Multi-Factor (MFA)?
3.3 Nyaraka / Rasilimali
3.3.1 Marejeleo
3.4 Machapisho Yanayohusiana

Programu ya Kawaida salama

Taarifa ya Bidhaa

Vipimo

  • Jina la Bidhaa: Kiwango cha Programu Salama cha CSA
  • Toleo: 1.0
  • Tarehe ya Kutolewa: Januari 10, 2024

Kuhusu Kiwango

Kiwango cha Programu Salama cha CSA ni seti ya miongozo na bora zaidi
mazoea ya kutekeleza udhibiti wa usalama wa uthibitishaji katika
programu za simu. Inalenga kuhakikisha uthibitishaji salama
mifumo na kulinda data nyeti dhidi ya ufikiaji usioidhinishwa. The
kiwango kinatengenezwa kwa kushauriana na mashirika mbalimbali
na wataalam katika uwanja wa usalama wa mtandao.

Kusudi, Mawanda, na Hadhira inayokusudiwa

Madhumuni ya Kiwango cha Programu Salama cha CSA ni kutoa
watengenezaji wenye mapendekezo na mbinu bora za utekelezaji
vidhibiti salama vya uthibitishaji katika programu za simu. Kiwango
inatumika kwa watengenezaji na mashirika yanayohusika katika
uundaji wa programu za rununu zinazohitaji uthibitishaji. Ni
imeundwa ili kuimarisha usalama wa jumla wa uthibitishaji
mchakato na kulinda faragha ya mtumiaji.

Notisi na Mwongozo wa Wasanidi Programu

Kiwango cha Programu Salama cha CSA hutoa mwongozo kwa wasanidi kuhusu
kutekeleza udhibiti wa usalama wa uthibitishaji. Inasisitiza
umuhimu wa kufuata mazoea bora ya tasnia na kuhakikisha
utekelezaji salama wa taratibu za uthibitishaji. Watengenezaji
inapaswa kurejelea kiwango kwa mwongozo wa kina juu ya utekelezaji
vidhibiti vya usalama vilivyopendekezwa.

Ufafanuzi wa Hati na Marejeleo ya Kawaida

Kiwango cha Programu Salama cha CSA kinajumuisha ufafanuzi wa hati na
marejeleo ya kawaida ambayo hutoa ufafanuzi juu ya istilahi iliyotumiwa
na kurejelea viwango na miongozo mingine ya sekta husika.
Wasanidi wanapaswa kurejelea fasili na marejeleo haya kwa a
ufahamu bora wa kiwango.

Maagizo ya Matumizi ya Bidhaa

Uthibitishaji

Uthibitishaji ni sehemu muhimu ya simu nyingi za mkononi
maombi. Inathibitisha utambulisho wa watumiaji, wateja,
programu, na vifaa kabla ya kutoa ufikiaji kwa mahususi
rasilimali au kuruhusu vitendo fulani. Kiwango cha Programu Salama cha CSA
hutoa mapendekezo na mbinu bora za utekelezaji salama
vidhibiti vya uthibitishaji.

Vidhibiti vya Usalama

Kiwango cha Programu Salama cha CSA kinajumuisha yafuatayo
udhibiti wa usalama wa uthibitishaji:

ID Udhibiti
AUTHN-BP01 Programu hutumia Uthibitishaji wa Multi-Factor (MFA) ili kuthibitisha
shughuli za hatari kubwa.
AUTHN-BP02 Maelezo ya udhibiti
AUTHN-BP03 Maelezo ya udhibiti
AUTHN-BP04 Maelezo ya udhibiti
AUTHN-BP05 Maelezo ya udhibiti
AUTHN-BP06 Maelezo ya udhibiti

AUTHN-BP01 - Uthibitishaji wa Vipengele vingi (MFA)

Katika mfumo wa jadi wa uthibitishaji wa sababu moja, watumiaji
kwa kawaida huhitaji tu kuingiza Kitu-Unachojua (kama vile majina ya watumiaji
na nywila). Walakini, MFA inaongeza tabaka za uthibitishaji wa kitambulisho
kwa kuhitaji vipengele vya ziada kama Kitu-Ulichonacho na
Kitu-Wewe-Ndivyo. Hii inafanya kuwa changamoto zaidi kwa hasidi
wahusika kuathiri akaunti na kuongeza usalama wa jumla wa
mchakato wa uthibitishaji.

Mwongozo wa Utekelezaji

Wasanidi wanapaswa kutekeleza MFA ya Hatua ya Juu, ambayo inahitaji
kiwango cha ziada cha uthibitishaji kwa miamala iliyo hatari zaidi. The
Kiwango cha Programu Salama cha CSA kinatanguliza MFA ifuatayo
michanganyiko:

  1. Kitu-Unachojua
  2. Kitu-Ulichonacho
  3. Kitu-Wewe-Ndivyo

Maswali Yanayoulizwa Mara Kwa Mara (FAQ)

Swali: Madhumuni ya Kiwango cha Programu Salama cha CSA ni nini?

Jibu: Madhumuni ya Kiwango cha Programu Salama cha CSA ni kutoa
watengenezaji wenye mapendekezo na mbinu bora za utekelezaji
vidhibiti salama vya uthibitishaji katika programu za simu.

Swali: Ni nani hadhira inayolengwa kwa Programu Salama ya CSA
Kawaida?

A: Kiwango cha Programu Salama cha CSA kimekusudiwa wasanidi na
mashirika yanayohusika katika uundaji wa programu za rununu
zinazohitaji uthibitisho.

Swali: Ni faida gani za kutekeleza Multi-Factor
Uthibitishaji (MFA)?

J: Utekelezaji wa MFA huongeza tabaka za uthibitishaji wa utambulisho, kutengeneza
ni changamoto zaidi kwa watendaji hasidi kuhatarisha akaunti na
kuimarisha usalama wa jumla wa mchakato wa uthibitishaji.

View Fullscreen

1

Toleo la Kawaida la 1.0 la Programu Salama la CSA Limetolewa tarehe 10 Januari 2024
2

Kwa Ushauri Na:
Chama cha Benki Singapore, Kamati ya Kudumu ya Kamati ya Mtandao ya Deloitte Ushauri wa Hatari wa Asia ya Kusini-Mashariki Ernst & Ushauri Mchanga Pte. Ltd. KPMG nchini Singapore Lazada Microsoft Singapore PricewaterhouseCoopers Risk Services Pte. Ltd.
Kanusho:
Mashirika haya yalishauriwa kwenye Kiwango kwa maoni na maoni kuhusu udhibiti wa usalama, maelezo ya udhibiti wa usalama na miongozo ya kiufundi ya utekelezaji. Kwa kiwango cha juu kinachoruhusiwa chini ya sheria, CSA, na washauri wa nje hawatawajibika kwa dosari zozote, makosa na/au upungufu uliomo humu wala kwa hasara yoyote au uharibifu wa aina yoyote (pamoja na upotevu wowote wa faida, biashara, nia njema au sifa. , na/au uharibifu wowote maalum, wa bahati mbaya au wa matokeo) kuhusiana na matumizi au utegemezi wowote wa Kiwango hiki. Mashirika yanayotengeneza programu za simu, watoa huduma na wasanidi programu wanashauriwa kuzingatia jinsi Kiwango kinavyoweza kutumika kwa hali zao mahususi kupata ushauri wao wa kisheria na/au wa kiufundi kuhusiana na yaliyomo na/au utekelezaji wa mapendekezo katika Mashirika ya Kawaida yanayotengeneza simu. programu, watoa huduma na wasanidi wanapaswa kufanya uamuzi wa kitaalamu ikiwa na wakati wa kutekeleza mapendekezo katika Kiwango, na wanapaswa kuzingatia ikiwa hatua za ziada zinahitajika kuhusiana na hali zao mahususi.
3

Yaliyomo
Kwa Ushauri Na: ………………………………………………………………………………………………………………………………………………… …………………………………………………………………………………………………………………………………. 3 Kuhusu Kiwango………………………………………………………………………………………………………………………… Mawanda, na Hadhira inayokusudiwa ………………………………………………………………………………………………………………………………………………………………………………………………………………… …………………………………………………………………………. 3 Ufafanuzi wa Hati na Marejeleo ya Kawaida …………………………………………………………………………… 6 6. Uthibitishaji ………………………………… ……………………………………………………………………………… 7
AUTHN-BP01 ………………………………………………………………………………………………………………………. 11 AUTHN-BP01a …………………………………………………………………………………………………………………. 13 AUTHN-BP01b …………………………………………………………………………………………………………………. 14 AUTHN-BP01c…………………………………………………………………………………………………………….. 15
AUTHN-BP02 ………………………………………………………………………………………………………………………. 16 AUTHN-BP03 ………………………………………………………………………………………………………………………. 17
AUTHN-BP03a ……………………………………………………………………………………………………………………. 18 AUTHN-BP03b ……………………………………………………………………………………………………………………. 19 AUTHN-BP04 ………………………………………………………………………………………………………………………. 20 AUTHN-BP05 ………………………………………………………………………………………………………………………. 21 AUTHN-BP06 ………………………………………………………………………………………………………………………. 22 ……………………………………………………………………………………………………………………………………… ……….. 23 2. Uidhinishaji …………………………………………………………………………………………………………………… ….. 24 MWANDISHI-BP01 …………………………………………………………………………………………………………………………… .. 25 MWANDISHI-BP02 ……………………………………………………………………………………………………………………. 26 MWANDISHI-BP03 …………………………………………………………………………………………………………………….. 27 MWANDISHI-BP04 …………………………………………………………………………………………………………………….. 28 ……………………………………………………………………………………………………………………………………………… …….. 29 3. Hifadhi ya Data (Data-at-Rest) ………………………………………………………………………………………… …. 30 HIFADHI-BP01 ………………………………………………………………………………………………………………………. 31 HIFADHI-BP02 ………………………………………………………………………………………………………………………. 32 HIFADHI-BP02a ………………………………………………………………………………………………………………. 33 HIFADHI-BP02b ………………………………………………………………………………………………………………. 34 HIFADHI-BP03 ……………………………………………………………………………………………………………………. 35 …………………………………………………………………………………………………………………………………………… ……….. 36 4. Anti-Tampering & Anti-Reversing……………………………………………………………………………………..37 RESILIENCE-BP01 …………………… ………………………………………………………………………………………………. 38 RESILIENCE-BP02 ……………………………………………………………………………………………………………………. 39
4

RESILIENCE-BP03 …………………………………………………………………………………………………………………. 41 RESILIENCE-BP04 …………………………………………………………………………………………………………………. 42 RESILIENCE-BP05 …………………………………………………………………………………………………………………. 43 RESILIENCE-BP06 …………………………………………………………………………………………………………………. 44 RESILIENCE-BP07 …………………………………………………………………………………………………………………. 45 Marejeleo……………………………………………………………………………………………………………………………
5

Kuhusu Kiwango
Utangulizi Kiwango cha Programu Salama ni kiwango kinachopendekezwa kwa programu za simu (programu), kilichoundwa na Wakala wa Usalama wa Mtandao wa Singapore (CSA), kwa kushauriana na washirika wa sekta hii kutoka taasisi za fedha, mashirika ya teknolojia, kampuni za ushauri na mashirika ya serikali. Zaidiview Madhumuni ya Kiwango ni kuweka msingi unaopendekezwa wa vidhibiti vya usalama kwa wasanidi programu na watoa huduma za simu kufuata. Hii itahakikisha kuwa programu zote za ndani zinafuata seti sawa ya vidhibiti vya usalama vya programu za simu, na hivyo kuinua viwango vya usalama vya programu zinazopangishwa na kuundwa nchini Singapore.
Kusudi, Mawanda, na Hadhira inayokusudiwa
Hati hii iliundwa ili kutoa mapendekezo na mapendekezo kwa wasanidi programu ili kuwasaidia katika kutekeleza vipengele vya usalama katika programu zao. Mapendekezo na mapendekezo kama haya yanalenga kuwasaidia wasanidi programu katika kukabiliana na wigo mpana wa vitisho vya usalama wa mtandao na kulinda programu zao dhidi ya ulaghai wa hivi punde zaidi wa programu hasidi za simu. Yaliyomo hapa si ya kufungamana, yanatolewa kwa msingi wa kutotegemewa na yanakusudiwa kuwa ya kuarifu kwa asili, na hayakusudiwi kubainisha kikamilifu vitisho vinavyoweza kutokea vya usalama wa mtandao au kubainisha kikamilifu michakato au mifumo ambayo wasanidi wanapaswa kuweka kushughulikia au kuzuia kama hivyo. vitisho. Toleo la 1 la miongozo ya Kiwango cha Programu Salama na vidhibiti vya usalama vitalenga hasa kutoa miongozo ya usalama kwa wasanidi programu hatarishi ili kukabiliana na programu hasidi za hivi punde na ulaghai unaoonekana katika mazingira hatarishi ya Singapore. Hata hivyo, vidhibiti hivi vya usalama vinaweza pia kufaidika na kutekelezwa na programu zingine. Inapendekezwa kuwa wasanidi programu wote wajitahidi kutekeleza hatua hizi kwa usalama ulioimarishwa wa programu ya simu. Ingawa Kiwango hiki kina eneo la msingi la kulenga, marudio ya siku zijazo yatapanuka ili kushughulikia mbinu bora za usalama na miongozo ya rafu nzima ya programu ya simu.
6

Notisi na Mwongozo wa Wasanidi Programu
Hii ni hati hai ambayo itashughulikiwa upyaview na marekebisho mara kwa mara. Kama viwango vingine vingi vilivyoidhinishwa, Safe App Standard ni hati hai ambayo itasasishwa mara kwa mara ili kuendana na tishio la sasa na linalobadilika na vivamizi vipya vya mashambulizi. Tafadhali rejelea CSA webtovuti ili kusasishwa na toleo jipya zaidi la Safe App Standard na ubadilishe hatua za usalama na vidhibiti ipasavyo. Kiwango hiki kinapaswa kusomwa pamoja na hakichukui nafasi, kutofautiana, au kuchukua nafasi ya majukumu na wajibu wowote wa kisheria, udhibiti au majukumu mengine ya wasanidi programu na watoa huduma, ikiwa ni pamoja na wale walio chini ya Sheria ya Usalama wa Mtandao ya 2018, na sheria yoyote ndogo, kanuni za utendaji, viwango vya utendakazi, au maagizo yaliyoandikwa chini yake. Utumiaji wa hati hii na utekelezaji wa mapendekezo humu pia hauondoi au kumfukuza kiotomatiki msanidi programu na mtoa huduma kutoka kwa majukumu au majukumu kama hayo. Yaliyomo katika waraka huu hayakusudiwi kuwa taarifa ya mamlaka ya sheria au mbadala wa ushauri wa kisheria au wa kitaalamu. Mwongozo wa msanidi programu kuhusu Mfumo wa usalama wa Kiwango cha Salama Kwa urahisi wa matumizi, wasanidi programu wanapaswa kukumbuka kuwa Toleo la 1 la Kiwango cha Programu Salama linalenga maeneo muhimu yafuatayo, na hati yenyewe inaweza kugawanywa katika vifungu vifuatavyo:
· Uthibitishaji · Uidhinishaji · Hifadhi ya Data (Data-at-Rest) · Anti-Tamper & Anti-Reverse Maeneo haya muhimu yamejumuishwa ili kuhakikisha kusanifishwa kwa usalama wa programu ya simu dhidi ya vienezaji vya mashambulizi vinavyotumiwa na watendaji hasidi katika mfumo wetu wa ikolojia wa eneo lako. Safe App Standard hutoa seti ya wazi na mafupi ya vidhibiti vya usalama, miongozo na mbinu bora za kuimarisha usalama wa programu za simu zinazotoa au kuwezesha miamala hatari sana.
7

Ufafanuzi wa Hati na Marejeleo ya Kawaida
Ufafanuzi wa Hati Ufuatao ni baadhi ya ufafanuzi ambao wasanidi programu na wasomaji wanapaswa kukumbuka wanapotumia hati hii: Data Nyeti Data ya mtumiaji kama vile Taarifa Binafsi Inayotambulika (PII) na data ya uthibitishaji kama vile vitambulisho, funguo za usimbaji fiche, manenosiri ya mara moja, data ya kibayometriki. , tokeni za usalama, vyeti, n.k. Shughuli za hatari kubwa ni zile zinazohusisha:
· Mabadiliko ya shughuli za kifedha baadhi ya zamaniampLes zinajumuisha lakini hazizuiliwi na usajili wa maelezo ya mlipaji wa kampuni nyingine, ongezeko la kikomo cha uhamishaji wa hazina, n.k.
· Kuanzishwa kwa miamala ya kifedha baadhi ya watu wa zamaniampLes ni pamoja na lakini sio tu kwa shughuli za pesa za thamani ya juu, uhamishaji wa pesa za thamani ya juu, miamala ya kadi mtandaoni, ufikiaji wa moja kwa moja wa malipo, utendakazi wa kuhifadhi pesa, na nyongeza, n.k.
· Mabadiliko ya usanidi wa usalama wa programu baadhi exampbaadhi ya haya ni pamoja na lakini sio tu kuzima mbinu za uthibitishaji, kusasisha tokeni za dijiti au vitambulisho, n.k.
Udhibiti wa usalama Hatua za uendeshaji au za kiufundi zinazopendekezwa katika hati hii ambazo zinafaa kutekelezwa ili kudhibiti, kufuatilia, na kupunguza uwezekano wa udhaifu au matukio ya kiusalama. Vidhibiti hivi vya usalama vina vitambulisho vifuatavyo vilivyoambatishwa kwao, kwa mfano, AUTHN-BP01, AUTHOR-BP01, STORAGE-BP01, RESILIENCE-BP01. Marejeleo ya Kawaida Kiwango cha Marejeleo ya Programu Salama hurejelea viwango vya sekta ya Open Web Mradi wa Usalama wa Maombi (OWASP), Wakala wa Umoja wa Ulaya wa Usalama wa Mtandao na Taarifa (ENISA) na Kiwango cha Usalama wa Data ya Sekta ya Kadi ya Malipo (PCI DSS). Orodha ya marejeleo ni kama ifuatavyo:
· MASVS ya OWASP (Kiwango cha Uthibitishaji wa Usalama wa Programu ya Simu ya Mkononi) · MASTG ya OWASP (Mwongozo wa Majaribio ya Usalama wa Programu ya Simu ya Mkononi) · Miongozo ya Maendeleo Salama ya ENISA (SSDG) · Miongozo ya Usalama ya Kukubalika kwa Malipo ya Simu ya PCI DSS kwa Wasanidi Programu
8

9

1. Uthibitishaji

Utangulizi
Uthibitishaji ni sehemu muhimu ya programu nyingi za simu. Programu hizi kwa kawaida hutumia aina mbalimbali za uthibitishaji, ikiwa ni pamoja na bayometriki, PIN, au jenereta za msimbo wa uthibitishaji wa vipengele vingi. Kuhakikisha utaratibu wa uthibitishaji ni salama na unatekelezwa kufuatia mbinu bora za sekta ni muhimu ili kuthibitisha utambulisho wa mtumiaji.
Kwa kutekeleza udhibiti thabiti wa usalama kwa ajili ya uthibitishaji, wasanidi programu wanaweza kuhakikisha kuwa watumiaji, wateja, programu na vifaa vilivyoidhinishwa pekee ndio wanaoweza kufikia rasilimali mahususi au kutekeleza vitendo fulani. Kupitia vidhibiti salama vya uthibitishaji, wasanidi programu wanaweza pia kupunguza hatari ya ufikiaji wa data ambao haujaidhinishwa, kudumisha uadilifu wa data nyeti, kudumisha faragha ya mtumiaji na kulinda uadilifu wa utendakazi wa shughuli hatari sana.
Vidhibiti katika aina hii vinalenga kupendekeza vidhibiti vya usalama vya uthibitishaji ambavyo programu inapaswa kutekeleza ili kulinda data nyeti na kuzuia ufikiaji ambao haujaidhinishwa. Pia huwapa wasanidi programu mbinu bora zinazofaa za kutekeleza vidhibiti hivi vya usalama.
udhibiti wa usalama

ID

Udhibiti

AUTHN-BP01 AUTHN-BP01a AUTHN-BP01b AUTHN-BP01c AUTHN-BP02 AUTHN-BP03 AUTHN-BP03a AUTHN-BP03b AUTHN-BP04 AUTHN-BP05 AUTHN-BP06

Tumia Uthibitishaji wa Vigezo Vingi ili kuthibitisha miamala yenye hatari kubwa. Tekeleza uthibitishaji wa Kitu-Unachojua kama mojawapo ya vipengele vya MFA. Tekeleza Kitu-Ulichonacho uthibitishaji kama mojawapo ya vipengele vya MFA. Tekeleza Kitu-Wewe-Je, uthibitishaji kama mojawapo ya vipengele vya MFA. Tumia vipengele vinavyotegemea muktadha ili kuthibitisha. Tekeleza uthibitishaji wa kipindi salama. Tekeleza uthibitishaji salama wa hali. Tekeleza uthibitishaji salama usio na uraia. Tekeleza usitishaji wa kipindi salama wakati wa kuondoka, kutotumika au kufungwa kwa programu. Tekeleza ulinzi wa nguvu ya kikatili kwa uthibitishaji. Tekeleza utaratibu wa uthibitishaji wa uadilifu wa muamala.

10

AUTHN-BP01
Udhibiti
Programu hutumia Uthibitishaji wa Multi-Factor (MFA) ili kuthibitisha shughuli za hatari kubwa.
Maelezo
Katika mfumo wa kitamaduni wa uthibitishaji wa kipengele kimoja, watumiaji kwa kawaida huhitaji tu kuingiza Kitu-Unajua1 kama vile majina ya watumiaji na manenosiri. Hata hivyo, ikiwa kipengele hiki kimoja kitashindwa au kuathiriwa, mchakato mzima wa uthibitishaji unaweza kukabiliwa na vitisho.
MFA ni utaratibu wa uthibitishaji unaoongeza safu za uthibitishaji wa utambulisho, unaohitaji sio Kitu-Unachojua tu bali pia Kitu-Ulichonacho2 na Kitu-Wewe-Uko3. Utekelezaji wa MFA hufanya iwe changamoto zaidi kwa watendaji hasidi kuathiri akaunti na kuimarisha usalama wa jumla wa mchakato wa uthibitishaji.
Mwongozo wa utekelezaji
Wasanidi wanapaswa kutumia Step-up MFA. Ni aina mahususi ya MFA ambapo programu inajumuisha mkakati wa uthibitishaji unaohitaji kiwango cha ziada cha uthibitishaji, hasa wakati wa kujaribu shughuli za hatari zaidi.
Wasanidi programu wanapaswa kutanguliza michanganyiko ifuatayo ya MFA katika mpangilio wa 1, 2, 3, na 4, na chaguo la 1 kama chaguo salama zaidi.

Mambo / Chaguo Kitu-Unachojua Kitu-Ulichonacho
· Tokeni ya programu · Tokeni ya maunzi · SMS OTP Kitu-Wewe-Are

1

2

3

4

1 Kitu-Unachojua kinarejelea taarifa ambayo mtumiaji anajua, kama vile PIN (Nambari ya Kitambulisho cha Kibinafsi), nenosiri, au mchoro, n.k. 2 Kitu Ulichonacho kinarejelea umiliki wa kifaa halisi, programu, au ishara ambayo hutengeneza kitambulisho, ambacho kinaweza kujumuisha Nywila za Wakati Mmoja (OTPs). Kwa mfanoampVipengele vya tokeni kama hizo ni pamoja na tokeni za programu, tokeni za maunzi, na SMS OTP. 3 Kitu-Wewe-Are inarejelea vitambulishi vya kibayometriki, ambapo sifa za kipekee za mtumiaji hutumiwa kwa uthibitishaji, kama vile alama za vidole, ukaguzi wa retina, utambuzi wa uso au utambuzi wa sauti.
11

Wasanidi programu wanashauriwa sana wasitegemee SMS na barua pepe OTP kama njia ya uthibitishaji wa miamala yenye hatari kubwa. Ikiwa haiwezekani, ni muhimu kutekeleza kipengele cha kibayometriki au kipengele cha ziada cha uthibitishaji kwa kushirikiana na SMS OTP na barua pepe OTP. Mambo ya kuzingatia
· Inapendekezwa sana kuchagua suluhu za nje ya rafu inapowezekana. · Watengenezaji wanapaswa kuhakikisha kuwa angalau kipengele kimoja cha MFA kimethibitishwa kwa upande wa mteja, pamoja na yote
zingine zimethibitishwa kwenye upande wa seva. Katika hali ambapo uthibitishaji umethibitishwa kwa upande wa mteja, hasa kwa Android, tekeleza kanuni ya msingi ya Mazingira ya Utekelezaji Yanayoaminika (TEE). · Udhibiti huu wa usalama unarejelewa katika viwango vingine. Tafadhali rejelea nyaraka zilizotolewa katika:
o OWASP Kiwango cha Uthibitishaji wa Usalama wa Programu ya Simu ya Mkononi (MASVS) v2.0.0 (2023), uk. 21.
o Mwongozo wa Majaribio ya Usalama wa Maombi ya Simu ya OWASP (MASTG) v1.7.0 (2023), uk. 51, 56. o Miongozo ya Usimamizi wa Hatari ya Teknolojia ya MAS (2021), uk. 34, 50. o ENISA Smartphone Secure Development Guidelines (2016), pg. 11.
12

Udhibiti wa AUTHN-BP01a Programu hutekeleza uthibitishaji wa Kitu-Unachojua kama mojawapo ya vipengele vya MFA. Ufafanuzi Kitu-Unachojua kinawakilisha safu ya msingi ya uthibitishaji wa utambulisho unaohusisha maelezo yanayojulikana na mtumiaji pekee, kama vile PIN (Nambari ya Kitambulisho cha Kibinafsi), nenosiri, mchoro, n.k. Utekelezaji wa Kitu-Unachojua kama mojawapo ya vipengele vya MFA huhakikisha. kiwango cha msingi cha uthibitishaji wa utambulisho kwa kuwahitaji watumiaji kutoa maelezo ya kipekee yanayohusiana na akaunti zao. Ni jambo muhimu katika kanuni ya "Kitu-Unachojua, Kitu-Ulichonacho, na Kitu-Ulicho," inayochangia mkakati wa usalama wa tabaka nyingi wa kina na madhubuti. Mwongozo wa utekelezaji Wasanidi wanapaswa kufuata miongozo ifuatayo katika kuunda manenosiri thabiti na salama:
· Hakikisha urefu wa nenosiri wa chini wa herufi 12 au zaidi. · Jumuisha mseto wa herufi kubwa na ndogo, nambari na herufi maalum pekee
~`! @#$%^&*()_-+=:;,.? Wasanidi programu wanapaswa pia kutambua na kuepuka mitego ya kawaida katika kuunda nenosiri:
· Epuka kutumia maneno ya kubahatisha, vishazi au michanganyiko. · Epuka kujumuisha maelezo ya kibinafsi. · Epuka herufi zinazofuatana (k.m., “123456”) au herufi zinazorudiwa (k.m., “aaaaa”). Mambo ya kuzingatia · Wasanidi programu wanapaswa kutekeleza mzunguko wa kitambulisho kwenye mali ya shirika pekee au ikiwa hakuna.
Utekelezaji wa MFA kwenye mwisho wa mtumiaji, k.m. kubadilishwa kila mwaka au kulingana na muda uliowekwa. · Udhibiti huu wa usalama unarejelewa katika viwango vingine. Tafadhali rejelea nyaraka
zinazotolewa katika: o Miongozo ya Usimamizi wa Hatari ya Teknolojia ya MAS (2021), uk. 34. o Miongozo ya Maendeleo ya Usalama ya Simu ya ENISA (2016), uk. 10.
13

Udhibiti wa AUTHN-BP01b Programu hutekeleza uthibitishaji wa Kitu-Ulichonacho kama mojawapo ya vipengele vya MFA. Ufafanuzi Kitu Ulichonacho huhitaji watumiaji kuthibitisha kwa kifaa halisi, programu, au tokeni inayotengeneza vitambulisho, ambavyo vinaweza kujumuisha Nywila za Wakati Mmoja (OTPs). Kwa mfanoampVipengele vya tokeni kama hizo ni pamoja na tokeni za programu, tokeni za maunzi, na SMS OTP. Utekelezaji wa Kitu Ulichonacho kama mojawapo ya vipengele vya MFA huongeza utata kwa mchakato wa uthibitishaji kwa kuhitaji umiliki wa kipengele kinachoonekana, na hivyo kupunguza kwa kiasi kikubwa uwezekano wa ufikiaji ambao haujaidhinishwa. Ni jambo muhimu katika kanuni ya ” Kitu-Unachojua, Kitu-Ulichonacho, na Kitu-Ulicho,” ikichangia mkakati wa usalama wa tabaka nyingi wa kina na madhubuti. Mwongozo wa utekelezaji Wasanidi wanapaswa kutumia OTP kulingana na wakati kwa tokeni za programu, tokeni za maunzi na SMS OTP. Miongozo ifuatayo inapaswa kufuatwa:
· OTP inapaswa kuwa halali kwa si zaidi ya 30s. · OTP ambayo haijaingizwa kimakosa baada ya majaribio 3 inapaswa kubatilishwa, na kipindi cha mtumiaji
inapaswa kufutwa au kukataliwa. Mambo ya kuzingatia
· Udhibiti huu wa usalama unarejelewa katika viwango vingine. Tafadhali rejelea nyaraka zinazotolewa katika: o Mwongozo wa Majaribio ya Usalama wa Maombi ya Simu ya OWASP (MASTG) v1.7.0 (2023), uk. 56-57. o Miongozo ya Usimamizi wa Hatari ya Teknolojia ya MAS (2021), uk. 50, 51. o ENISA Smartphone Secure Development Guidelines (2016), pg. 10.
14

AUTHN-BP01c
Dhibiti Programu hutumia uthibitishaji wa Kitu-Wewe-Are kama mojawapo ya vipengele vya MFA.
Ufafanuzi Kitu-Wewe-Are huhitaji watumiaji kuthibitisha kwa vitambulishi vya kibayometriki kama vile alama za vidole, uchunguzi wa retina au utambuzi wa uso. Utekelezaji wa Kitu-Wewe-Are kama mojawapo ya vipengele vya MFA huongeza kipengele cha uthibitishaji kilichobinafsishwa sana na ambacho ni vigumu kuiga. Inatoa njia thabiti zaidi za kuthibitisha utambulisho wa mtumiaji kuliko vipengele vya Kitu-Unachojua na Kitu-Unacho, hivyo kupunguza hatari ya ufikiaji ambao haujaidhinishwa. Ni jambo muhimu katika kanuni ya ” Kitu-Unachojua, Kitu-Ulichonacho, na Kitu-Ulicho,” ikichangia mkakati wa usalama wa tabaka nyingi wa kina na madhubuti. Mwongozo wa utekelezaji Wasanidi wanapaswa kutekeleza uthibitishaji wa kibayometriki wa upande wa seva kwa kutumia mfumo unaoaminika wa kitambulisho cha kibayometriki kama vile Singpass. Hata hivyo, ikiwa haiwezekani, wasanidi programu wanapaswa kutekeleza uthibitishaji wa kibayometriki wa upande wa mteja kupitia mbinu za kifaa za Mazingira ya Utekelezaji Yanayoaminika (TEEs) kama vile CryptoObject na Uthibitishaji Uliolindwa wa Android kwa Android au huduma za Keychain za iOS. Mambo ya kuzingatia
· Wasanidi programu wanapaswa kudhibiti utendakazi wa programu kwenye vifaa visivyo na maunzi Mazingira Yanayoaminika (TEE) au bayometriki. Kwa mfanoampna, vifaa vya Android visivyo na TEE vinaweza kutambuliwa kwa kutumia API ya Android ya "isInsideSecureHardware".
· Wasanidi wanapaswa kubatilisha uthibitishaji wa kibayometriki iwapo mabadiliko yatatokea katika utaratibu wa kibayometriki, kama vile kuandikisha alama ya vidole mpya kwenye kifaa. Majukwaa ya iOS na Android yanaauni kuweka ufunguo wa crypto wa programu ili kuisha muda wake kutokana na mabadiliko hayo.
· Udhibiti huu wa usalama unarejelewa katika viwango vingine. Tafadhali rejelea nyaraka zinazotolewa katika: o Mwongozo wa Majaribio ya Usalama wa Maombi ya Simu ya OWASP (MASTG) v1.7.0 (2023), uk. 227233, 422-426. o Miongozo ya Usimamizi wa Hatari ya Teknolojia ya MAS (2021), uk. 51. o Miongozo ya Maendeleo ya Usalama ya Simu ya ENISA (2016), uk. 11, 26.
15

AUTHN-BP02
Dhibiti Programu hutumia vipengele vinavyotegemea muktadha ili kuthibitisha. Maelezo Mambo kulingana na muktadha huanzisha vipengele vinavyobadilika kama vile eneo la mtumiaji na sifa za kifaa. Ingawa MFA hutoa safu dhabiti ya usalama kwa kuhitaji vipengele vingi vya uthibitishaji, ikijumuisha vipengele vinavyotegemea muktadha huunda mchakato wa uthibitishaji mpana zaidi na unaoweza kukupa manufaa ya ziada katika kushughulikia hatari zinazobadilika za ufikiaji usioidhinishwa. Utekelezaji wa vipengele vinavyotegemea muktadha hupunguza utegemezi wa stakabadhi tuli, na kuifanya iwe changamoto zaidi kwa watendaji hasidi kujaribu ufikiaji ambao haujaidhinishwa. Mwongozo wa utekelezaji Wasanidi wanapaswa kuzingatia vipengele vifuatavyo vya kimuktadha ili kuthibitisha utambulisho wa mtumiaji:
· Eneo la eneo: Ruhusu ufikiaji kulingana na eneo la ulimwengu halisi la kifaa kwa kutumia GPS, Wi-Fi, au eneo la anwani ya IP.
· Aina ya Kifaa: Ruhusu ufikiaji kulingana na sifa za kifaa. k.m. ukubwa wa skrini unaweza kubainisha ikiwa kifaa ni simu mahiri au kompyuta kibao.
Mambo ya kuzingatia Udhibiti huu wa usalama unarejelewa katika viwango vingine. Tafadhali rejelea nyaraka zilizotolewa katika:
· Mwongozo wa Majaribio ya Usalama wa Maombi ya Simu ya OWASP (MASTG) v1.7.0 (2023), uk. 56, 58. · ENISA Smartphone Secure Development Guidelines (2016), pg. 11.
16

AUTHN-BP03
Dhibiti Programu hutumia uthibitishaji wa kipindi salama. Maelezo Uthibitishaji salama wa kipindi huhakikisha usimamizi thabiti wa kikao kwa uthibitishaji wa hali na mali. Vipindi vinavyodhibitiwa vibaya, bila kujali kama programu inafuata mbinu za uthibitishaji za stateful4 au stateless5, vinaweza kusababisha vitisho vya usalama kama vile ufikiaji ambao haujaidhinishwa, utekaji nyara wa kipindi au ukiukaji wa data. Utekelezaji wa uthibitishaji wa kipindi salama kwa vikao vya hali ya juu hutumia vitambulishi salama vya kipindi, mawasiliano yaliyosimbwa kwa njia fiche na muda ufaao wa kuisha ili kuzuia ufikiaji ambao haujaidhinishwa. Kwa uthibitishaji usio na uraia, inahakikisha kuwa tokeni ni tamper-resistant, kudumisha uadilifu wa uthibitishaji bila kutegemea hifadhi ya upande wa seva. Mwongozo wa utekelezaji Wasanidi programu wanapaswa kutekeleza uthibitishaji wa kipindi kwa usalama kwa kutumia mbinu bora zifuatazo za uthibitishaji wa vipindi (AUTHN-BP03a) na usio na uraia (AUTHN-BP03b). Mambo ya kuzingatia Udhibiti huu wa usalama unarejelewa katika viwango vingine. Tafadhali rejelea nyaraka zilizotolewa katika:
· Mwongozo wa Majaribio ya Usalama wa Maombi ya Simu ya OWASP (MASTG) v1.7.0 (2023), uk. 51-55. · Miongozo ya Usimamizi wa Hatari ya Teknolojia ya MAS (2021), uk. 51. · ENISA Smartphone Secure Development Guidelines (2016), p. 10.
4 Uthibitishaji wa uhakika unarejelea usimamizi wa hali za kipindi kwenye upande wa seva, kwa kawaida huhitaji matumizi ya vitambulishi vya kipindi. 5 Uthibitishaji usio na uraia hurejelea usimamizi wa vipindi bila kuhifadhi maelezo yanayohusiana na mtumiaji kwenye upande wa seva.
17

Udhibiti wa AUTHN-BP03a Programu hutumia uthibitishaji salama wa hali. Maelezo Uthibitishaji wa uhakika wa uhakika unahusisha kulinda na kudumisha vipindi vinavyoendelea. Ingawa uthibitishaji wa hali ya juu hutoa hali ya utumiaji isiyo na mshono kupitia vipindi vinavyoendelea vya watumiaji, inaweza kuathiriwa na matishio mbalimbali ya usalama, kama vile watendaji hasidi wanaojaribu kuiba vitambulishi vya kipindi. Utekelezaji wa uthibitishaji wa hali salama hulinda akaunti za mtumiaji dhidi ya ufikiaji usioidhinishwa na udhaifu unaowezekana unaohusishwa na usimamizi wa kipindi bila kuathiri usawa kati ya utumiaji na usalama. Mwongozo wa utekelezaji Wasanidi wanapaswa kutambua ncha za upande wa seva ambazo hufichua maelezo nyeti au utendakazi muhimu. Wasanidi programu wanapaswa pia kutumia mbinu bora zifuatazo za uthibitishaji wa kipindi:
· Kataa maombi yenye vitambulisho au ishara za kipindi ambazo hazipo au batili. · Tengeneza Vitambulisho vya Kikao bila mpangilio kwenye upande wa seva bila kuviambatanisha URLs. · Imarisha usalama wa Vitambulisho vya Kipindi kwa urefu ufaao na entropy, na kufanya kubahatisha kuwa ngumu. · Badilisha vitambulisho vya Kipindi kupitia miunganisho salama ya HTTPS pekee. · Epuka kuhifadhi vitambulisho vya kipindi kwenye hifadhi inayoendelea. · Thibitisha vitambulisho vya vipindi ili mtumiaji afikie vipengele vya programu vilivyobahatika. · Sitisha vipindi kwenye upande wa seva, ukifuta taarifa za kipindi baada ya muda kuisha au kuondoka. Mambo ya kuzingatia Ikiwa una shaka, zingatia kutumia majukwaa na itifaki za uthibitishaji zinazoaminika. Udhibiti huu wa usalama unarejelewa katika viwango vingine. Tafadhali rejelea hati zinazotolewa katika: · Mwongozo wa Majaribio ya Usalama wa Maombi ya Simu ya OWASP (MASTG) v1.7.0 (2023), uk. 52.
18

Udhibiti wa AUTHN-BP03b Programu hutumia uthibitishaji salama usio na uraia. Maelezo Uthibitishaji salama usio na uraia unahusisha mbinu salama za uthibitishaji kwa ufanisi na hatari. Ingawa uthibitishaji usio na uraia unatoa manufaa, inaweza kuwa hatarini zaidi kwa vitisho vya usalama kama vile uigaji wa mtumiaji ikiwa tokeni hazitazalishwa, kutumwa na kuhifadhiwa kwa njia salama. Utekelezaji salama wa uthibitishaji usio na uraia huhakikisha kwamba kila tokeni ya uthibitishaji inashughulikiwa kwa usalama huku ikipata manufaa ya ufanisi na upunguzaji, kupunguza hatari ya ufikiaji usioidhinishwa. Mwongozo wa utekelezaji Wasanidi wanapaswa kupitisha mbinu bora zifuatazo za uthibitishaji wa kikao:
· Tengeneza tokeni kwenye upande wa seva bila kuziweka URLs. · Imarisha usalama wa tokeni kwa urefu ufaao na entropy, na kufanya kubahatisha kuwa ngumu. · Badilisha tokeni kupitia miunganisho salama ya HTTPS pekee. · Thibitisha kuwa hakuna data nyeti, kama vile PII, iliyopachikwa kwenye tokeni. · Epuka kuhifadhi tokeni kwenye hifadhi inayoendelea. · Thibitisha tokeni za ufikiaji wa mtumiaji kwa vipengele vya programu vilivyobahatika. · Sitisha tokeni kwenye upande wa seva, ukifuta taarifa za tokeni baada ya kuisha au kuondoka. · Tia saini kwa njia fiche kwa kutumia kanuni salama, kuepuka matumizi ya algoriti batili. Mambo ya kuzingatia · Ikiwa una shaka, zingatia kutumia mifumo na itifaki za uthibitishaji zinazoaminika. · Udhibiti huu wa usalama unarejelewa katika viwango vingine. Tafadhali rejelea nyaraka
zinazotolewa katika: o Mwongozo wa Majaribio ya Usalama wa Maombi ya Simu ya OWASP (MASTG) v1.7.0 (2023), uk. 52-53.
19

AUTHN-BP04
Dhibiti Programu hutekeleza usitishaji wa kipindi kwa usalama wakati wa kuondoka, kutokuwa na shughuli au kufungwa kwa programu. Maelezo Kukomesha kikao salama kunahakikisha kufungwa kwa vipindi vya watumiaji. Katika hali kama vile kuondoka, kutokuwa na shughuli au matukio ya kufungwa kwa programu, kuna uwezekano kwa watendaji hasidi kutumia vibaya sehemu zozote za ufikiaji ikiwa vipindi havidhibitiwi ipasavyo. Kutekeleza usitishaji wa kipindi kwa usalama wakati wa kuondoka, kutotumika au kufungwa kwa programu kunaweza kupunguza kwa kiasi kikubwa hatari ya ufikiaji usioidhinishwa kwa kusitisha vipindi vya watumiaji kiotomatiki na kulinda taarifa za mtumiaji zisifikiwe na wahusika ambao hawajaidhinishwa. Mwongozo wa utekelezaji Wasanidi programu wanapaswa kuthibitisha upya watumiaji baada ya kuondoka, kutotumika kwa programu, uvivu, usuli, kuisha kabisa kwa vipindi au kufungwa kwa ghafla/kulazimisha. Wasanidi programu wanapaswa pia kuunda vitambulishi vipya vya kipindi kwenye seva wakati wowote watumiaji wanapopanda hadi kiwango kipya cha uthibitishaji ili kuzuia urekebishaji wa kipindi. Mambo ya kuzingatia
· Wasanidi programu wanapaswa kuhakikisha kuwa kusitishwa kwa kipindi kunajumuisha kufuta au kutoidhinisha tokeni zote zilizohifadhiwa ndani au vitambulishi vya kipindi.
· Wasanidi programu wanapaswa kubainisha thamani ya muda wa kutofanya kitu kulingana na hatari na asili ya huduma za kifedha.
· Udhibiti huu wa usalama unarejelewa katika viwango vingine. Tafadhali rejelea nyaraka zinazotolewa katika: o Mwongozo wa Majaribio ya Usalama wa Maombi ya Simu ya OWASP (MASTG) v1.7.0 (2023), uk. 55-56, 58. o Miongozo ya Usimamizi wa Hatari ya Teknolojia ya MAS (2021), uk. 51. o Miongozo ya Maendeleo ya Usalama ya Simu ya ENISA (2016), uk. 11.
20

AUTHN-BP05
Dhibiti Programu hutumia ulinzi wa nguvu ya kikatili kwa uthibitishaji. Maelezo Mashambulizi ya kikatili yanahusisha majaribio ya kiotomatiki na ya kimfumo ya kukisia vitambulisho vya mtumiaji, kwa mfanoample, kwa kujaribu mchanganyiko mbalimbali wa majina ya watumiaji na manenosiri ili kupata ufikiaji usioidhinishwa. Ulinzi wa nguvu usio na kikomo huzuia idadi ya majaribio ya kuingia ndani ya muda maalum. Utekelezaji wa ulinzi wa nguvu ya kikatili kwa uthibitishaji unaweza kupunguza kwa kiasi kikubwa hatari ya ufikiaji usioidhinishwa, kulinda akaunti za watumiaji na kudumisha uadilifu wa mchakato wa uthibitishaji. Mwongozo wa utekelezaji Wasanidi wanapaswa kutekeleza mbinu za kutumia nguvu kwa kutumia mbinu bora zifuatazo:
· Tekeleza ukaguzi wa kuzuia otomatiki. · Tumia kikomo cha viwango kwa majaribio ya kuingia. · Jumuisha ucheleweshaji wa muda unaoendelea (k.m. sekunde 30, dakika 1, dakika 2, 5
dakika) kwa majaribio ya kuingia. · Tekeleza kufungwa kwa akaunti. Mambo ya kuzingatia · Watengenezaji wanapaswa kutambua kuwa mifumo yote ya MFA inaweza kuathiriwa na nguvu za kinyama. · Wasanidi programu wanapaswa kuwasilisha sababu za kufungwa kwa akaunti na kutoa njia zinazoweza kufikiwa
kwa watumiaji kujithibitisha na kuondoa kufuli. Kwa mfanoamples ni pamoja na kupiga simu ya usaidizi au kutumia uthibitishaji wa kibayometriki. · Udhibiti huu wa usalama unarejelewa katika viwango vingine. Tafadhali rejelea nyaraka zilizotolewa katika:
o Miongozo ya Maendeleo ya Usalama ya Simu za ENISA (2016), uk. 10, 16.
21

AUTHN-BP06
Dhibiti Programu hutumia utaratibu wa uthibitishaji wa uadilifu wa muamala. Maelezo Ingawa uthibitishaji huhakikisha utambulisho wa mtumiaji, hauondoi uwezekano wa shughuli za ulaghai wakati wa mchakato wa ununuzi. Mbinu za uthibitishaji wa uadilifu wa miamala ni vipengele vya usalama vya usaidizi vinavyowapa watumiaji muda na zana za kukabiliana na ulaghai unaoweza kutokea. Utekelezaji wa utaratibu wa uthibitishaji wa uadilifu wa muamala huhakikisha kwamba kila shughuli inachunguzwa kwa kina ili kuthibitisha usahihi na uhalisi wake. Mwongozo wa utekelezaji Wasanidi wanaweza kutekeleza mbinu bora zifuatazo zilizopendekezwa:
· Anzisha simu ya uthibitishaji/uthibitisho wa muamala. · Toa historia ya muamala ya wakati halisi. · Tekeleza kipindi cha kutuliza cha masaa 12 hadi 24. · Zima shughuli za ng'ambo kwa chaguo-msingi; wezesha kupitia MFA pekee. Mambo ya kuzingatia Udhibiti huu wa usalama unarejelewa katika viwango vingine. Tafadhali rejelea hati zinazotolewa katika: · Mwongozo wa Majaribio ya Usalama wa Maombi ya Simu ya OWASP (MASTG) v1.7.0 (2023), uk. 57-58.
22

23

2. Uidhinishaji

Utangulizi
Usalama wa uidhinishaji hufanya kazi kwa kushirikiana na usalama wa uthibitishaji. Usalama wa uidhinishaji katika programu za simu ni njia muhimu ya ulinzi kwani unabainisha ni nani anayeweza kufikia nyenzo gani ndani ya programu. Huunda udhibiti wa kimfumo na kuhalalisha haki za ufikiaji wa mtumiaji ndani ya programu.
Wasanidi programu wanaweza kuhakikisha kuwa watumiaji, wateja, programu na vifaa walioidhinishwa pekee ndio wanaoweza kufikia rasilimali mahususi au kutekeleza vitendo fulani kwa kutekeleza udhibiti thabiti wa uidhinishaji na uwekaji uidhinishaji. Kupitia vidhibiti vya uidhinishaji, wasanidi programu wanaweza pia kupunguza hatari ya ufikiaji wa data ambao haujaidhinishwa, kudumisha uadilifu wa data nyeti, kudumisha faragha ya mtumiaji na kulinda uadilifu wa utendakazi wa shughuli hatarishi. Ingawa utekelezaji wa mbinu hizi lazima uwe kwenye mwisho wa mbali, ni muhimu vile vile kwa programu ya upande wa mteja kufuata mbinu bora zinazofaa ili kuhakikisha matumizi salama ya itifaki za uidhinishaji zinazohusika.
Vidhibiti katika aina hii hutoa vidhibiti vya usalama vya uidhinishaji ambavyo programu inapaswa kutekeleza ili kulinda data nyeti na kuzuia ufikiaji ambao haujaidhinishwa. Pia huwapa wasanidi programu mbinu bora zinazofaa kuhusu jinsi ya kutekeleza vidhibiti hivi vya usalama.
udhibiti wa usalama

ID

Udhibiti

AUTHOR-BP01 Tekeleza uidhinishaji wa upande wa seva.

AUTHOR-BP02 Tekeleza uidhinishaji wa upande wa mteja kupitia kufunga kifaa.

AUTHOR-BP03 Waarifu watumiaji kuhusu ruhusa zote zinazohitajika kabla ya kuanza kutumia programu.

MWANDISHI-BP04

Waarifu watumiaji kuhusu miamala yote yenye hatari kubwa ambayo imeidhinishwa na kukamilika.

24

MWANDISHI-BP01
Dhibiti Programu hutumia uidhinishaji wa upande wa seva. Maelezo Uidhinishaji wa upande wa seva unarejelea kuhalalisha na kutoa ruhusa za ufikiaji kwa watumiaji au programu na seva au seva ya uidhinishaji. Hii inahakikisha kwamba maamuzi na ruhusa za udhibiti wa ufikiaji zinadhibitiwa na kutekelezwa kwenye upande wa seva badala ya mteja. Kwa kutekeleza uidhinishaji wa upande wa seva, wasanidi programu hupunguza fursa za washambuliaji hasidi kwa tamper au bypass hatua za usalama kwenye programu ili kupata ufikiaji ambao haujaidhinishwa kwa data nyeti (yaani PII na data ya Uthibitishaji). Mwongozo wa utekelezaji Wasanidi wanapaswa kutekeleza uidhinishaji wa upande wa seva baada ya uthibitishaji uliofaulu, kabla ya kutoa ruhusa za ufikiaji. Wasanidi programu wanapaswa kuhakikisha kuwa watumiaji wamepewa ufikiaji kulingana na yafuatayo:
· Jukumu lililokabidhiwa na ruhusa: Hakikisha kuwa watumiaji wanaweza tu kutekeleza majukumu yanayohusiana na majukumu yao.
· Sababu za Muktadha: Matukio ya ufikiaji yanayobadilika kama vile Muda wa Ufikiaji na Uchambuzi wa Tabia.
Mambo ya kuzingatia Udhibiti huu wa usalama unarejelewa katika viwango vingine. Tafadhali rejelea nyaraka zilizotolewa katika:
· Mwongozo wa Majaribio ya Usalama wa Maombi ya Simu ya OWASP (MASTG) v1.7.0 (2023), uk. 50-55, 58. · Miongozo ya Usalama ya Kukubalika kwa Malipo ya Simu ya PCI v2.0.0 (2017), p. 10. · ENISA Smartphone Secure Development Guidelines (2016), uk. 10-11.
25

MWANDISHI-BP02
Dhibiti Programu hutumia uidhinishaji wa upande wa mteja kupitia kufunga kifaa.
Maelezo
Uidhinishaji wa upande wa mteja ni mchakato wa kudhibiti ruhusa za ufikiaji ndani ya programu ya simu. Hii ni hatari kwani kutegemea upande wa mteja kunaweza kufichua programu kwenye udhaifu kama vile ufikiaji ambao haujaidhinishwa na ulaghai unaowezekana.
Ikiwa biashara ya programu hufanya kazi (k.m., tokeni za programu zinazosakinishwa) zinahitaji uidhinishaji wa upande wa mteja, kufunga kifaa (mazoezi ya usalama ambayo yanahusisha uidhinishaji wa kufikia upendeleo kwenye kifaa fulani) inapendekezwa. Kwa kutekeleza ufungaji wa kifaa, programu zinaweza kuthibitisha utambulisho wa kifaa na kuanzisha uaminifu. Hii hupunguza hatari zinazohusiana na ufikiaji usioidhinishwa na hudumisha njia salama, inayoaminika kati ya vifaa, programu na seva.
Mwongozo wa utekelezaji
Wasanidi programu wanapaswa kuweka uunganishaji kati ya programu na kifaa wakati utambulisho wa mtumiaji unatumiwa kwa mara ya kwanza kwenye kifaa cha mkononi ambacho hakijasajiliwa.
Wasanidi programu wanapaswa pia kuthibitisha kwamba programu:
· Angalia marekebisho kwenye kifaa tangu wakati wa mwisho wa utekelezaji. · Angalia marekebisho kwa alama za utambulisho wa kifaa. · Hakikisha kuwa kifaa kinachoendesha programu kiko katika hali salama (k.m. hakuna uvunjaji wa gereza au mizizi). Hao hapo juu ni baadhi tu wa zamaniampchini ya mbinu bora zaidi zinazotumiwa na tasnia. Kadiri mfumo ikolojia wa vifaa vya rununu unavyobadilika, mbinu hizi zinaweza kupitwa na wakati. Kwa hivyo, wasanidi programu wanapaswa kuendelea kufahamu mbinu bora za hivi punde za sekta ya kuthibitisha ufungaji wa vifaa. Mambo ya kuzingatia
Ili kuthibitisha kifaa kwenye vifaa vya Android, wasanidi wanaweza:
· Pata vitambulishi vya kipekee kama vile IMEI au Android ID. · Rejesha habari ya muundo. · Tumia vipengele asili vya API ya OS, kama vile SafetyNet ya Google.
Ili kuthibitisha kifaa kwenye vifaa vya iOS, wasanidi wanaweza:
· Tumia huduma asilia za Mfumo wa Uendeshaji, kama vile Kitambulisho cha kifaa cha Apple kupitia UIDevice.
Udhibiti huu wa usalama unarejelewa katika viwango vingine. Tafadhali rejelea nyaraka zilizotolewa katika:
· Mwongozo wa Majaribio ya Usalama wa Maombi ya Simu ya OWASP (MASTG) v1.7.0 (2023), uk. 316-317, 516. · Miongozo ya Usimamizi wa Hatari ya Teknolojia ya MAS (2021), uk. 51, 56.
26

MWANDISHI-BP03
Dhibiti Programu huwaarifu watumiaji kuhusu ruhusa zote zinazohitajika kabla ya kuanza kutumia programu. Maelezo Ruhusa zinazohitajika ni haki na uwezo mahususi ambao programu huomba kutoka kwa simu ya mkononi. Ruhusa hizi hufafanua ni nyenzo gani au utendaji kazi ambao programu inaweza kufikia kwenye vifaa vya watumiaji. Baadhi ya zamaniampInajumuisha, lakini sio tu, kamera, maikrofoni, eneo, n.k. Kwa kutekeleza arifa zinazofaa zinazowafahamisha watumiaji kuhusu ruhusa zinazoombwa, wasanidi programu wanaweza kuzuia watumiaji kutoa ruhusa nyingi bila kujua, jambo ambalo linaweza kuruhusu watendaji hasidi kutumia udhaifu. na kuiba data nyeti (yaani PII na Data ya Uthibitishaji). Arifa kama hizo pia zitaruhusu watumiaji kufanya maamuzi sahihi kuhusu programu wanazosakinisha. Mwongozo wa utekelezaji Wasanidi wanapaswa kutumia arifa za Ndani ya Programu (Ndani ya Programu) kuomba watumiaji ruhusa ya ufikiaji. Wasanidi pia wanapaswa kuhakikisha kuwa Arifa/Arifa hazionyeshi data nyeti. Mambo ya kuzingatia Wasanidi programu wanapaswa kuomba tu ruhusa muhimu za utendakazi wa programu. Udhibiti huu wa usalama unarejelewa katika viwango vingine. Tafadhali rejelea nyaraka zilizotolewa katika:
· Mwongozo wa Majaribio ya Usalama wa Maombi ya Simu ya OWASP (MASTG) v1.7.0 (2023), uk. 56, 58. · ENISA Smartphone Secure Development Guidelines (2016), pg. 8, 18, 28. · Mwongozo wa Wasanidi Programu wa Apple kuhusu Faragha, https://developer.apple.com/design/human-interface-
miongozo/faragha (Jan 2024). · Mwongozo wa Wasanidi Programu wa Android kuhusu Faragha, https://developer.android.com/quality/privacy-and-
usalama (Januari 2024).
27

MWANDISHI-BP04
Dhibiti Programu huarifu watumiaji kwa miamala yote yenye hatari kubwa ambayo imeidhinishwa na kukamilika.
Maelezo Ikiwa programu ina utendakazi wa shughuli za hatari zaidi, watumiaji wanapaswa kuarifiwa mara moja wakati shughuli imeidhinishwa na kukamilika. Kwa kutekeleza udhibiti huu, wasanidi programu wanaweza kuhakikisha kuwa watumiaji wanafahamishwa mara moja wakati miamala yenye hatari kubwa imeidhinishwa na kukamilika ili waweze kutambua miamala ya ulaghai haraka iwezekanavyo.
Mwongozo wa utekelezaji Wasanidi wanapaswa kutumia mbinu zifuatazo ili kumtahadharisha mtumiaji:
· Arifa za Ndani ya Programu (Ndani ya Programu). · Arifa za barua pepe. · Arifa za Huduma ya Ujumbe Mfupi (SMS). Wasanidi pia wanapaswa kuhakikisha kuwa Arifa/Arifa hazionyeshi data nyeti.
Hao hapo juu ni baadhi tu wa zamaniampchini ya mbinu bora za arifa zinazotumiwa na tasnia. Kadiri mfumo ikolojia wa vifaa vya rununu unavyobadilika, mbinu hizi zinaweza kupitwa na wakati. Kwa hivyo, wasanidi programu wanapaswa kuendelea kufahamu mbinu bora za hivi punde za tasnia ili kuwaarifu watumiaji kuhusu miamala ya hatari iliyoidhinishwa na kukamilika.
Mambo ya kuzingatia Wasanidi programu wanapaswa kuomba ruhusa muhimu pekee za utendakazi wa programu.
Udhibiti huu wa usalama unarejelewa katika viwango vingine. Tafadhali rejelea nyaraka zilizotolewa katika:
· Miongozo ya Usimamizi wa Hatari ya Teknolojia ya MAS (2021), uk. 52. · Mwongozo wa Usalama wa Kukubali Malipo ya PCI v2.0.0 (2017), uk. 10. · ENISA Smartphone Secure Development Guidelines (2016), uk. 8. · Mwongozo wa Msanidi Programu wa Apple kuhusu Faragha, https://developer.apple.com/design/human-interface-
miongozo/faragha (Jan 2024). · Mwongozo wa Wasanidi Programu wa Android kuhusu Faragha, https://developer.android.com/quality/privacy-and-
usalama (Januari 2024).
28

29

3. Hifadhi ya Data (Data-at-Rest)

Utangulizi
Usalama wa Hifadhi ya Data kwa data-katika mapumziko unahusu kulinda uadilifu na usiri wa data nyeti (yaani PII na data ya Uthibitishaji) iliyohifadhiwa ndani ya kifaa cha upande wa mteja na kando ya seva ya programu wakati haitumiwi au kutumwa. Hii inajumuisha mazoea bora, hatua za ulinzi na mbinu za usimbaji fiche zinazotumika ili kupata data iliyohifadhiwa kwenye hifadhidata, files, akiba, kumbukumbu, na Mazingira ya Utekelezaji Yanayoaminika (TEE) kwenye vifaa vya mkononi na maeneo sawa katika seva za programu.
Wasanidi programu wanaweza kuhakikisha kuwa data ya mtumiaji inahifadhiwa na kulindwa kwa kutekeleza udhibiti thabiti wa usalama wa kuhifadhi data wakati wa mapumziko. Vidhibiti sahihi vya data-at-rest pia huhakikisha kuwa programu inaweza kupunguza hatari za ufikiaji bila ruhusa, maelewano ya kifaa, ukiukaji wa data unaowezekana na uvujaji wa data na kuimarisha ulinzi wa programu.
Vidhibiti vifuatavyo huhakikisha kuwa data yoyote nyeti iliyohifadhiwa kimakusudi na programu inalindwa vya kutosha, bila kujali eneo lengwa. Pia inashughulikia uvujaji usiokusudiwa kutokana na matumizi yasiyofaa ya API au uwezo wa mfumo.
udhibiti wa usalama

ID

Udhibiti

HIFADHI-BP01 Hifadhi data nyeti ambayo ni muhimu kwa miamala pekee.

HIFADHI-BP02 Tekeleza hifadhi salama ya data nyeti.

HIFADHI-BP02a Hifadhi data nyeti kwa usalama kwenye upande wa seva.

HIFADHI-BP02b

Hifadhi data nyeti kwa usalama upande wa mteja katika Mazingira Yanayoaminika ya Utekelezaji (TEE).

STORAGE-BP03 Futa data nyeti wakati si lazima tena.

30

HIFADHI-BP01
Dhibiti Programu huhifadhi data nyeti ambayo ni muhimu tu kwa miamala. Maelezo Data nyeti hufafanuliwa kama data ya mtumiaji (PII) na data ya uthibitishaji (k.m., vitambulisho, funguo za usimbaji fiche, n.k.) Wasanidi programu wanapaswa kuhifadhi data nyeti ambayo ni muhimu kwa utendakazi wa biashara ya programu pekee. Kukusanya taarifa zisizo za lazima huongeza athari za ukiukaji wa usalama, hivyo basi kufanya programu kuwa lengo la kuvutia watendaji hasidi. Kwa kutekeleza udhibiti huu wa usalama, wasanidi programu wanaweza kuhakikisha kuwa kufichua kunadhibitiwa tu na data inayohitajika kwa utendaji mahususi wa biashara, na hivyo kupunguza athari katika tukio la ufikiaji usioidhinishwa au ukiukaji wa data. Mwongozo wa utekelezaji Wasanidi programu wanapaswa kuainisha data inayotumiwa na programu kulingana na viwango vya unyeti vya shirika na kulingana na mahitaji ya kisheria. Wasanidi programu wanapaswa kutumia miongozo ifuatayo ili kupata data ambayo imeainishwa kuwa nyeti:
1. Tekeleza suluhisho salama la uhifadhi kulingana na unyeti wake kwa upande wa mteja/upande wa seva. 2. Tumia hatua za ulinzi wa data (k.m. kuweka ishara, kuharakisha kwa chumvi, usimbaji fiche) 3. Futa data nyeti wakati si lazima tena. Mambo ya kuzingatia Udhibiti huu wa usalama unarejelewa katika viwango vingine. Tafadhali rejelea hati zinazotolewa katika: · Mwongozo wa Majaribio ya Usalama wa Maombi ya Simu ya OWASP (MASTG) v1.7.0 (2023), uk. 190, 398. · Miongozo ya Usimamizi wa Hatari ya Teknolojia ya MAS (2021), uk. 9-10, 36, 38. · ENISA Smartphone Secure Development Guidelines (2016), pg. 6.
31

HIFADHI-BP02
Dhibiti Programu hutumia uhifadhi salama wa data nyeti. Ufafanuzi Hifadhi salama ya programu za simu inarejelea mbinu na mazoea ya kutekeleza ili kulinda data nyeti iliyohifadhiwa kwenye vifaa vya mkononi na seva za programu dhidi ya ufikiaji usioidhinishwa, wizi au t.ampering. Hii inahusisha mbinu bora kama vile usimbaji fiche, hashing, tokenisation, na vidhibiti sahihi vya ufikiaji. Kwa kutekeleza hifadhi salama, wasanidi programu wanaweza kupunguza dhidi ya ufikiaji usioidhinishwa, maelewano ya kifaa, uwezekano wa ukiukaji wa data na uvujaji wa data. Mwongozo wa utekelezaji Wasanidi wanapaswa kutekeleza suluhisho salama la uhifadhi ambalo linalingana na unyeti wa data. Wasanidi programu wanapaswa pia kutanguliza mpangilio ufuatao wa suluhisho salama la kuhifadhi (kutoka kwa data nyeti zaidi hadi data nyeti sana):
1. Upande wa seva (data zote nyeti zinapaswa kuhifadhiwa kwenye upande wa seva). 2. Upande wa Mteja ndani ya Mazingira ya Utekelezaji Unaoaminika (katika hali ambayo upande wa seva haupo
iwezekanavyo, hifadhi data zote nyeti katika TEE ya upande wa mteja). Mambo ya kuzingatia Udhibiti huu wa usalama unarejelewa katika viwango vingine. Tafadhali rejelea nyaraka zilizotolewa katika:
· Kiwango cha Uthibitishaji wa Usalama wa Maombi ya Simu ya OWASP (MASVS) v2.0.0 (2023), uk. 17-18. · Mwongozo wa Majaribio ya Usalama wa Maombi ya Simu ya OWASP (MASTG) v1.7.0 (2023), uk. 190-203, 398-
406. · ENISA Smartphone Secure Development Guidelines (2016), uk. 06-07.
32

HIFADHI-BP02a
Udhibiti
Programu huhifadhi data nyeti kwa usalama kwenye upande wa seva.
Maelezo
Kuhifadhi data nyeti kwenye upande wa seva kunarejelea kuhifadhi data kwenye seva za programu za mbali au hifadhidata. Mbinu kama hiyo hutengeneza mazingira bora ya kulinda data dhidi ya ufikiaji au uvunjaji usioidhinishwa, kuwezesha udhibiti wa ufikiaji uliolindwa zaidi, chaguo za kutekeleza hatua bora za usalama kama vile usimbaji fiche ngumu zaidi na masharti ya masasisho ya haraka ya usalama.
Kwa kutekeleza uhifadhi wa data nyeti kwa upande wa seva, wasanidi programu wanaweza kupunguza dhidi ya hatari asilia za uhifadhi wa data wa upande wa mteja, kwani uhifadhi wa upande wa mteja huathiriwa zaidi na mbinu za utumiaji wa uhifadhi wa data zinazotumiwa sana na watendaji hasidi katika ulaghai wa simu.
Mwongozo wa utekelezaji
Wasanidi programu wanapaswa kutumia angalau hatua 1 kati ya zifuatazo za ulinzi wa data:
1. Kwa manenosiri pekee, wasanidi wanaweza kutumia hashing na salt6. Badala ya kuhifadhi nywila halisi, chumvi za kipekee hutengenezwa na kuunganishwa na nywila, na kuunda heshi zenye chumvi.
2. Wasanidi wanaweza kusimba data nyeti7 kwa viwango vya usimbaji fiche kama vile AES-128. 3. Watengenezaji wanaweza kutekeleza tokenisation8 kwa kujidhibiti wenyewe au ishara
huduma, kubadilisha data nyeti na tokeni inapowezekana. Zaidi ya hayo, wasanidi programu wanapaswa kuhakikisha uwekaji alama ni wa urefu na utata wa kutosha (unaoungwa mkono na kriptografia salama) kulingana na unyeti wa data na mahitaji ya biashara.
Hao hapo juu ni baadhi tu wa zamaniampmbinu bora zinazotumiwa na tasnia. Kadiri mfumo wa ikolojia wa vifaa vya rununu unavyobadilika, mbinu hizi bora zinaweza kupitwa na wakati. Kwa hivyo, wasanidi programu wanapaswa kuzingatia mbinu bora zaidi za sekta ya kuhifadhi data nyeti kwa usalama kwenye upande wa seva.
Mambo ya kuzingatia
Udhibiti huu wa usalama unarejelewa katika viwango vingine. Tafadhali rejelea nyaraka zilizotolewa katika:
· Kiwango cha Uthibitishaji wa Usalama wa Maombi ya Simu ya OWASP (MASVS) v2.0.0 (2023), uk. 19-20. · Mwongozo wa Majaribio ya Usalama wa Maombi ya Simu ya OWASP (MASTG) v1.7.0 (2023), uk. 71-77, 219-227,
416-421. · Miongozo ya Usimamizi wa Hatari ya Teknolojia ya MAS (2021), uk. 30, 36-37, 39. · Miongozo ya Usalama ya Kukubalika kwa Malipo ya Simu ya PCI v2.0.0 (2017), uk. 9. · ENISA Smartphone Secure Development Guidelines (2016), pg. 6-9.
6 Hashing na chumvi hutumika kuongeza safu ya ziada ya usalama kwa kuifanya iwe ya kina kwa washambuliaji kubainisha data nyeti asilia. Katika muktadha wa uhifadhi wa nenosiri au utokaji wa ufunguo, wasanidi programu wanapaswa kutumia vitendakazi vya unyambulishaji wa ufunguo wa njia moja au algoriti za hashi polepole, kama vile PBKDF2, bcrypt, au scrypt. 7 Usimbaji fiche hutumiwa kubadilisha data katika umbizo lisiloweza kusomeka, kuhakikisha kwamba hata kama itafikiwa bila idhini, data nyeti inasalia kuwa siri. 8 Tokeni hutumiwa kubadilisha data nyeti kwa tokeni ili kupunguza hatari ya kufichua data nyeti.
33

HIFADHI-BP02b
Udhibiti
Programu huhifadhi data nyeti kwa usalama kwa upande wa mteja katika Mazingira ya Utekelezaji Yanayoaminika (TEE).
Maelezo
Mazingira ya Utekelezaji Yanayoaminika (TEE) ni eneo lililojitenga ndani ya usanifu wa maunzi au kichakataji cha kifaa cha mkononi ambacho hutoa mazingira salama sana ya kuhifadhi data nyeti na kutekeleza utendakazi nyeti au muhimu. Imeundwa kulinda data nyeti, funguo za kriptografia na michakato muhimu dhidi ya ufikiaji usioidhinishwa au tampering. Ikiwa vitendaji vya biashara vya programu vinahitaji uhifadhi wa data nyeti kwa upande wa mteja, inashauriwa kuihifadhi katika TEE ya kifaa.
Kwa kutekeleza uhifadhi sahihi wa data nyeti katika TEE ya upande wa mteja, wasanidi programu wanaweza kupunguza dhidi ya vitisho vinavyotoka ndani ya kifaa kilichoathiriwa na watendaji hasidi wa nje. Hifadhi kama hiyo inaweza pia kupunguza ufikiaji usioidhinishwa wa data nyeti ya mtumiaji kwenye programu na kuzuia funguo zozote za usimbaji fiche kuibiwa.
Mwongozo wa utekelezaji
Wasanidi programu wanapaswa kuhifadhi data nyeti kwa usalama kwa upande wa mteja katika Mazingira ya Utekelezaji Yanayoaminika (TEE) kama vile TrustZone ya ARM ya Android, Apple's Secure Enclave.
Wasanidi programu wanapaswa pia kuhifadhi kwa uchache orodha ifuatayo ya data nyeti katika TEE:
· Vitambulisho vya kibayometriki. · Tokeni za uthibitishaji. · Vifunguo vya kriptografia katika mfumo salama wa udhibiti wa vitufe kama vile Android Keystore, iOS
Keychain.
Hao hapo juu ni baadhi tu wa zamaniampmaelezo ya kile ambacho wasanidi programu nyeti wanapaswa kuhifadhi kwenye TEE. Kadiri mfumo wa ikolojia wa vifaa vya rununu unavyobadilika, wasanidi programu wanapaswa kutumia uhuru wa kuhifadhi data yoyote wanayoona inafaa kuhifadhiwa katika TEE.
Mambo ya kuzingatia
Kwa vifaa visivyo na TEE za maunzi, wasanidi programu wanaweza kuzingatia matumizi ya TEE zilizoboreshwa.
Vinginevyo, wasanidi programu wanaweza kufikiria kuzima programu au kuzima utendakazi wa shughuli za muamala wa programu hatarishi, kwa kuwa programu inachukuliwa kuwa isiyo salama kwa miamala iliyo hatari sana.
Udhibiti huu wa usalama unarejelewa katika viwango vingine. Tafadhali rejelea nyaraka zilizotolewa katika:
· Kiwango cha Uthibitishaji wa Usalama wa Maombi ya Simu ya OWASP (MASVS) v2.0.0 (2023), uk. 19-20. · Mwongozo wa Majaribio ya Usalama wa Maombi ya Simu ya OWASP (MASTG) v1.7.0 (2023), uk. 75, 93, 194-200. · Miongozo ya Usimamizi wa Hatari ya Teknolojia ya MAS (2021), uk. 51. · Mwongozo wa Usalama wa Kukubali Malipo ya PCI v2.0.0 (2017), uk. 07-09, 14. · ENISA Smartphone Secure Development Guidelines (2016), pg. 10.
34

HIFADHI-BP03
Udhibiti
Programu hufuta data nyeti wakati haihitajiki tena.
Maelezo
Kufuta data nyeti kunarejelea mchakato wa kuondoa au kufuta kabisa data ya siri, ya faragha au nyeti kutoka kwa vifaa vya hifadhi, seva au hifadhidata. Mchakato huu unahakikisha kuwa data nyeti imeondolewa bila kurejeshwa na haiwezi kufikiwa, kurejeshwa, kufichuliwa kwa bahati mbaya au kutengenezwa upya na watu ambao hawajaidhinishwa au kupitia mbinu za kurejesha data.
Kwa kutekeleza mchakato huu, wasanidi programu wanaweza kupunguza dirisha ambalo wavamizi wanaweza kutumia udhaifu ili kuiba data nyeti.
Mwongozo wa utekelezaji
Wasanidi programu wanapaswa kutumia mbinu zifuatazo za usalama za uhifadhi:
· Futa vidakuzi vilivyohifadhiwa unaposimamisha programu au tumia hifadhi ya vidakuzi vya kumbukumbu. · Ondoa data zote nyeti kwenye uondoaji wa programu. · Ondoa kwa mikono hifadhidata yote files ambazo zina data nyeti (k.m., iOS WebView akiba) kutoka
ya file mfumo wakati shughuli zinazohusiana za biashara zinakoma kuwepo.
Hao hapo juu ni baadhi tu wa zamaniampmbinu bora zinazotumiwa na tasnia. Kadiri mfumo ikolojia wa vifaa vya rununu unavyobadilika, mbinu hizi zinaweza kupitwa na wakati. Kwa hivyo, wasanidi programu wanapaswa kuzingatia mbinu bora zaidi za sekta ya kufuta data nyeti wakati sio lazima tena.
Mambo ya kuzingatia
Wasanidi programu wanapaswa kuzingatia kuzingatia viwango vinavyokubalika na wengi na sheria husika ya kuhifadhi data ikijumuisha, lakini sio tu:
· Sheria ya Ulinzi wa Data ya Kibinafsi (PDPA) · Udhibiti wa Jumla wa Ulinzi wa Data (GDPR) · Kiwango cha Usalama wa Data ya Sekta ya Kadi ya Malipo (PCI DSS)
Udhibiti huu wa usalama unarejelewa katika viwango vingine. Tafadhali rejelea nyaraka zilizotolewa katika:
· Mwongozo wa Majaribio ya Usalama wa Maombi ya Simu ya OWASP (MASTG) v1.7.0 (2023), uk. 199, 206-214, 403-414.
· Miongozo ya Usimamizi wa Hatari ya Teknolojia ya MAS (2021), uk. 39. · ENISA Smartphone Secure Development Guidelines (2016), uk. 07, 09-10.
35

36

4. Anti-Tampering & Anti-Reversing

Utangulizi
Kupambana na Tampkudhibiti usalama na Kuzuia Kurejesha nyuma ni hatua za ziada ambazo wasanidi programu wanaweza kutekeleza ili kukabiliana na mashambulizi yanayojaribu tamper au geuza programu za wahandisi. Kwa kutekeleza vipengele vyote viwili, wasanidi huongeza safu nyingi za ulinzi kwa programu, hivyo kufanya iwe vigumu zaidi kwa watendaji hasidi kufanikiwa.amper au geuza programu za kihandisi, ambazo zinaweza kusababisha:
· Wizi au maafikiano ya mali muhimu za biashara kama vile kanuni za umiliki, siri za biashara, au data nyeti,
· Hasara za kifedha za watumiaji wanaotumia programu kufanya miamala yenye hatari kubwa, · Hasara za kifedha za mashirika kutokana na upotevu wa mapato au hatua za kisheria, · Uharibifu wa sifa ya chapa kutokana na utangazaji hasi au kutoridhika kwa wateja.

Vidhibiti huhakikisha kuwa programu zinaendeshwa kwenye mifumo inayoaminika, kuzuia tampinapotumika na uhakikishe uadilifu wa utendakazi wa programu. Kwa kuongeza, vidhibiti huzuia ufahamu kwa kufanya iwe vigumu kwa washambuliaji kufahamu jinsi programu zinavyofanya kazi.
udhibiti wa usalama

ID

Udhibiti

RESILIENCE-BP01 Ingia ukitumia vyeti kutoka kwa maduka rasmi ya programu.

RESILIENCE-BP02 Tekeleza mapumziko ya jela/ugunduzi wa mizizi. RESILIENCE-BP03 Tekeleza utambuzi wa kiigaji.

RESILIENCE-BP04 Tekeleza ugunduzi wa kuzuia programu hasidi.

RESILIENCE-BP05 Tekeleza taratibu za kuzuia ndoano.

RESILIENCE-BP06 Tekeleza uwekeleaji, wa mbali viewing, na hatua za kukabiliana na skrini.

USTAHILI-BP07

Tekeleza kunasa kizuia vitufe au kizuia keylogger dhidi ya kibodi pepe za watu wengine.

37

USTAHILI-BP01
Udhibiti
Programu ni msimbo uliotiwa saini na vyeti kutoka kwa maduka rasmi ya programu.
Maelezo
Programu mara nyingi huibiwa na watendaji hasidi na kusambazwa kupitia chaneli zisizodhibitiwa sana. Kusaini programu kwa vyeti vinavyotolewa na maduka rasmi ya programu huhakikishia mfumo wa uendeshaji wa simu ya mkononi na watumiaji kuwa programu ya simu inatoka kwenye chanzo kilichothibitishwa.
Utekelezaji wa utiaji saini wa msimbo husaidia mifumo ya uendeshaji kubaini ikiwa itaruhusu programu kuendesha au kusakinisha kulingana na saini au vyeti vinavyotumika kutia sahihi msimbo. Hii husaidia kuzuia usakinishaji na utekelezaji wa programu zinazoweza kuwa hatari. Kwa kuongezea, kutia sahihi kwa msimbo pia husaidia katika uthibitishaji wa uadilifu, kwani saini zitabadilika ikiwa programu imekuwa t.ampered na.
Mwongozo wa utekelezaji
Wasanidi programu wanapaswa kusaini programu zao kwa kutumia vyeti. Sehemu hii inatoa exampmaelezo ya jinsi ya kufanya hivyo kupitia majukwaa mawili maarufu zaidi ya iOS na Android.
Kwa Duka la Programu la Apple, inaweza kufanywa kwa kujiandikisha katika Mpango wa Wasanidi Programu wa Apple na kuunda ombi la kusaini cheti kwenye tovuti ya msanidi programu. Wasanidi programu wanaweza kujiandikisha kwa Mpango wa Wasanidi Programu wa Apple na wanaweza kurejelea mwongozo ufuatao wa msanidi wa kusaini msimbo chini ya mambo ya kuzingatia.
Kwa Android, kuna anuwai ya Duka za Programu. Kwa Google Play Store, inaweza kufanywa kwa kusanidi Huduma ya Google Play ya Kuambatisha Cheti ambayo ni sharti la kusambazwa kupitia Google Play Store. Kwa maelezo zaidi kuhusu jinsi ya kufanya hivyo wasanidi wanaweza kutembelea mwongozo wa wasanidi wa Android chini ya mambo ya kuzingatia.
Kwa maduka mengine rasmi, rejelea miongozo husika ya wasanidi programu kuhusu kutia sahihi kwa msimbo wa chanzo cha programu. Mambo ya kuzingatia Udhibiti huu wa usalama pia ni sharti la uchapishaji wa programu kwenye maduka rasmi ya programu, kwa hivyo, pendekezo ni kwamba msimbo wako utiwe saini kwa vyeti kutoka kwa maduka rasmi ya programu. Udhibiti huu wa usalama unarejelewa katika viwango vingine. Tafadhali rejelea nyaraka zilizotolewa katika:
· Mwongozo wa Mpango wa Wasanidi Programu wa Apple kwa Kutia Sahihi Msimbo, https://developer.apple.com/support/code-signing (Jan 2024).
· Mwongozo wa Wasanidi Programu wa Android kuhusu Faragha, https://developer.android.com/quality/privacy-andsecurity (Jan 2024).
· Mwongozo wa Majaribio ya Usalama wa Maombi ya Simu ya OWASP (MASTG) v1.7.0 (2023), uk. 325-326, 522523.
· ENISA Smartphone Secure Development Guidelines (2016), pg. 21.
38

USTAHILI-BP02
Udhibiti
Programu hutumia kizuizi cha jela au utambuzi wa mizizi.
Maelezo
Vifaa vilivyo na mizizi na kuvunjika kwa jela kwa ujumla huchukuliwa kuwa si salama. Vifaa vilivyo na mizizi au kufungwa jela huruhusu watumiaji kupata mapendeleo ya hali ya juu, kuwezesha uepukaji rahisi wa vikwazo vya usalama na OS. Haki kama hizo za juu zinaweza kuwa si salama kwa programu kwa vile haki hizi huruhusu watendaji hasidi kutumia uwezekano wa udhaifu, kuiba vitambulisho, kudhibiti vifaa vya watumiaji na kutekeleza miamala ya ulaghai ya programu.
Kwa kutekeleza uharibifu wa gereza au utambuzi wa mizizi, wasanidi programu wanaweza kuzuia matumizi mabaya yaliyotajwa hapo juu kutokea, kulinda uvumbuzi wa programu, kuhakikisha uthabiti wa programu na kuzuia upitaji wa mifumo ya ndani ya programu.
Mwongozo wa utekelezaji
Wasanidi programu wanapaswa kutekeleza ajali ya jela au utambuzi wa mizizi kwa kutekeleza ukaguzi ufuatao katika programu zao za vifaa vya Android:
1. Angalia kwa superuser au SU binary. 2. Tambua mzizi file mabadiliko ya mfumo. 3. Angalia kwa ajili ya programu mizizi. 4. Angalia urejeshaji wa desturi. 5. Angalia matumizi yasiyo salama ya API.
Wasanidi programu wanapaswa kutekeleza kizuizi cha jela au utambuzi wa mizizi kwa kutekeleza ukaguzi ufuatao katika programu yao ya vifaa vya iOS:
1. Tambua matumizi ya API zilizowekewa vikwazo. 2. Tafuta marekebisho ya mapumziko ya jela kama mods. 3. Tafuta maduka yasiyo rasmi ya programu, kwa mfano, angalia sahihi ya Cydia App Store. 4. Tafuta marekebisho ya kernel. 5. Angalia uadilifu wa muhimu file mifumo. 6. Tumia maktaba za watu wengine iliyoundwa kutambua kifaa tampering.
Hao hapo juu ni baadhi tu wa zamaniampcheki za utendakazi bora zinazotumiwa na tasnia. Kadiri mfumo ikolojia wa vifaa vya mkononi unavyobadilika, ukaguzi huu unaweza kupitwa na wakati. Kwa hivyo, wasanidi programu wanapaswa kuzingatia mbinu bora za hivi punde za tasnia ya kutekeleza mlipuko wa jela au utambuzi wa mizizi.
39

Mambo ya kuzingatia Udhibiti huu wa usalama unarejelewa katika viwango vingine. Tafadhali rejelea nyaraka zilizotolewa katika:
· Kiwango cha Uthibitishaji wa Usalama wa Maombi ya Simu ya OWASP (MASVS) v2.0.0 (2023), uk. 31. · Mwongozo wa Majaribio ya Usalama wa Programu ya Simu ya OWASP (MASTG) v1.7.0 (2023), uk. 319-320, 5069,
518-519. · Miongozo ya Usimamizi wa Hatari ya Teknolojia ya MAS (2021), uk. 50. · ENISA Smartphone Secure Development Guidelines (2016), pg. 11, 23.
9 https://github.com/crazykid95/Backup-Mobile-Security-Report/blob/master/Jailbreak-Root-DetectionEvasion-Study-on-iOS-and-Android.pdf
40

USTAHILI-BP03
Udhibiti
Programu hutumia utambuzi wa emulator.
Maelezo
Viigaji ni programu zinazotumiwa kujaribu programu za vifaa vya mkononi kwa kuruhusu mtumiaji kufanya majaribio ya programu ya simu kwenye matoleo na vifaa mbalimbali vinavyoigwa. Ingawa ni muhimu kwa majaribio, programu hazipaswi kujiruhusu kupachikwa kwenye viigizaji nje ya mazingira ya usanidi.
Kwa kutekeleza ugunduzi wa mwigo, wasanidi programu wanaweza kuzuia watendaji hasidi kufanya uchanganuzi madhubuti, utatuzi, utatuzi, uwekaji ala, kuunganisha na majaribio ya fuzz kwenye kifaa kilichoigwa wanayoweza kudhibiti. Kwa kufanya hivyo, wasanidi programu wanaweza kuzuia watendaji hasidi kugundua udhaifu ndani ya programu kwa ajili ya unyonyaji.
Mwongozo wa utekelezaji
Wasanidi programu wanapaswa kutekeleza mkakati ufuatao wa ugunduzi ili kubainisha vipengele vya suluhu za kuiga zinazotumika sana. Baadhi ya mapendekezo ya mambo ya kuangalia ni:
· Angalia matumizi ya betri. · Angalia saaamps na saa. · Angalia tabia za miguso mingi. · Angalia kumbukumbu na uchambuzi wa utendaji. · Fanya ukaguzi wa mtandao. · Angalia ikiwa ni msingi wa maunzi. · Angalia ni nini OS inategemea. · Angalia alama za vidole za kifaa. · Angalia usanidi wa muundo. · Angalia huduma na programu za emulator.
Hao hapo juu ni baadhi tu wa zamaniampcheki za utendakazi bora zinazotumiwa na tasnia. Kadiri mfumo ikolojia wa vifaa vya mkononi unavyobadilika, ukaguzi huu unaweza kupitwa na wakati. Kwa hivyo, wasanidi programu wanapaswa kuzingatia mbinu bora za hivi punde za tasnia ya kutekeleza ugunduzi wa viigizo. Mambo ya kuzingatia Udhibiti huu wa usalama unarejelewa katika viwango vingine. Tafadhali rejelea nyaraka zilizotolewa katika:
· Kiwango cha Uthibitishaji wa Usalama wa Maombi ya Simu ya OWASP (MASVS) v2.0.0 (2023), uk. 31-32. · Mwongozo wa Majaribio ya Usalama wa Maombi ya Simu ya OWASP (MASTG) v1.7.0 (2023), uk. 325, 521.
41

USTAHILI-BP04
Udhibiti
Programu hutumia utambuzi wa kuzuia programu hasidi.
Maelezo
Programu hasidi zinazidi kutumiwa na watendaji hasidi kama kisambazaji cha kuhatarisha vifaa vya rununu vya watumiaji kwani vifaa hivyo huwapa watumiaji urahisi unaohitajika kufanya miamala ya kila siku. Programu hasidi hutumia vipengele vya upakiaji kando kama njia ya kuwafanya watumiaji kusakinisha programu hasidi kwenye vifaa vyao.
Kwa kutekeleza uwezo wa kutambua programu hasidi kwenye programu wakati wa utekelezaji, wasanidi programu wanaweza kuzuia watumiaji kutumiwa vibaya kupitia programu hasidi kutumia udhaifu wa programu na athari za mfumo wa uendeshaji, kuiba vitambulisho, kukimiliki kifaa na kutekeleza miamala ya ulaghai.
Mwongozo wa utekelezaji
Wasanidi programu wanapaswa kutekeleza uwezo wa kutambua programu hasidi katika programu zao. Hii inaweza kufanywa kwa njia tofauti, lakini sio mdogo kwa:
· Jumuisha Kifaa cha Kukuza Programu cha Runtime-Application-Self-Protection (RASP) (SDK) kwenye programu zao.
· Tumia RASP SDK kukagua na kugundua programu hasidi wakati wa utekelezaji. · Angalia na uzuie viwekeleo. · Zuia kubofya. · Zuia kumbukumbu ya programu.
Hao hapo juu ni baadhi tu wa zamaniampcheki za utendakazi bora zinazotumiwa na tasnia. Kadiri mfumo ikolojia wa vifaa vya mkononi unavyobadilika, ukaguzi huu unaweza kupitwa na wakati. Kwa hivyo, wasanidi programu wanapaswa kuzingatia mbinu bora za hivi punde za tasnia ili kutekeleza ugunduzi wa kuzuia programu hasidi.
Mambo ya kuzingatia
Iwapo aina yoyote ya uovu itagunduliwa, wasanidi programu wanapaswa kuzima programu na kumpa mtumiaji maelezo muhimu kuhusu kwa nini programu imezimwa na kuhimiza mtumiaji aondoe programu hasidi kwenye kifaa chake.
Vinginevyo, wasanidi programu wanapaswa kuonya mtumiaji, na kuzima vitendaji hatarishi kwenye programu hadi mtumiaji atakaporekebisha programu hasidi. Udhibiti huu wa usalama unarejelewa katika viwango vingine. Tafadhali rejelea nyaraka zilizotolewa katika:
· Kiwango cha Uthibitishaji wa Usalama wa Maombi ya Simu ya OWASP (MASVS) v2.0.0 (2023), uk. 31. · Miongozo ya Usimamizi wa Hatari ya Teknolojia ya MAS (2021), uk. 40, 49. · ENISA Smartphone Secure Development Guidelines (2016), pg. 23.
42

USTAHILI-BP05
Udhibiti
Programu hutumia njia za kuzuia ndoano.
Maelezo
Hooking inarejelea mbinu inayotumiwa na washambuliaji kukatiza au kurekebisha tabia ya programu ya simu wakati wa utekelezaji. Hii inahusisha kuingiza au kuunganisha katika mtiririko wa utekelezaji wa programu ili kufuatilia shughuli zake, kubadilisha tabia yake, kuingiza msimbo hasidi au kurekebisha utendaji kazi wa msimbo uliopo ili kutumia udhaifu.
Kwa kutekeleza mbinu za kuzuia ndoano kwenye programu, wasanidi programu wanaweza kuzuia mashambulizi yaliyo hapo juu kutokea na kuzuia ufikiaji usioidhinishwa, kulinda shughuli za shughuli za hatari kubwa, kugundua na kuzuia t.ampmajaribio ya kurekebisha na kurekebisha, kuhifadhi haki miliki na kudumisha uaminifu wa programu.
Mwongozo wa utekelezaji
Wasanidi wanapaswa kutekeleza mfano ufuataoample njia za kupunguza dhidi ya mashambulizi ya ndoano:
· Tekeleza ulinzi ili kuzuia sindano za msimbo. · Tekeleza ulinzi ili kuzuia mbinu ya kunasa kwa kuzuia marekebisho kwenye programu
msimbo wa chanzo (wote kwenye mteja na seva). · Tekeleza ulinzi ili kuzuia utekelezwaji wa misimbo iliyorekebishwa katika programu yako. · Tekeleza ulinzi ili kuzuia ufikiaji wa kumbukumbu na utumiaji wa kumbukumbu kwa programu yako. · Tekeleza tampalgorithms sugu au anti-tampering SDK (zinazojulikana kama
SDK za Kujilinda-Wakati wa Maombi). · Angalia vigezo visivyo salama kama vile API na vigezo vilivyopitwa na wakati.
Hao hapo juu ni baadhi tu wa zamaniampcheki za utendakazi bora zinazotumiwa na tasnia. Kadiri mfumo ikolojia wa vifaa vya mkononi unavyobadilika, ukaguzi huu unaweza kupitwa na wakati. Kwa hivyo, wasanidi programu wanapaswa kuzingatia mbinu bora za hivi punde za tasnia ya kutekeleza mbinu za kuzuia ndoano. Mambo ya kuzingatia Udhibiti huu wa usalama unarejelewa katika viwango vingine. Tafadhali rejelea nyaraka zilizotolewa katika:
· Kiwango cha Uthibitishaji wa Usalama wa Maombi ya Simu ya OWASP (MASVS) v2.0.0 (2023), uk. 31. · Mwongozo wa Majaribio ya Usalama wa Programu ya Simu ya OWASP (MASTG) v1.7.0 (2023), uk. 135-140, 189,
318-319, 339-340, 390, 520. · Miongozo ya Usimamizi wa Hatari ya Teknolojia ya MAS (2021), p. 56. · ENISA Smartphone Secure Development Guidelines (2016), uk. 23, 26.
43

USTAHILI-BP06
Udhibiti
Programu inatekelezea kuwekelea, kwa mbali viewing, na hatua za kukabiliana na skrini.
Maelezo
Maelezo nyeti yanaweza kunaswa au kurekodiwa bila idhini ya mtumiaji wakati programu ina utendakazi wa kurekodi skrini, picha ya skrini au wekeleaji. Kwa mfanoample:
· Mashambulizi ya wekelea huwahadaa watumiaji kwa kuunda safu ghushi inayoiga programu zinazoaminika, ikilenga kuiba data nyeti.
· Mbali viewmashambulizi yanahusisha ufikiaji usioidhinishwa wa skrini ya kifaa, kuruhusu wavamizi kukusanya data nyeti wakiwa mbali.
· Mashambulizi ya picha za skrini hutokea wakati watendaji hasidi wanaponasa skrini ya kifaa bila idhini ya mtumiaji, na kutoa data nyeti.
Utekelezaji wa kuwekelea, wa mbali viewVipimo vya kupinga uingi na upigaji picha za skrini vinaweza kuhakikisha kuwa maelezo nyeti yanasalia salama, faragha ya mtumiaji inadumishwa na data nyeti inalindwa dhidi ya upotevu usiotarajiwa au matumizi mabaya.
Mwongozo wa utekelezaji
Watengenezaji wanapaswa kutekeleza anti-tampukaguzi wa kudhibiti na kuzuia programu hasidi kupitia RASP SDK ili kuzuia programu hasidi kutumia wekeleo, na mbali. viewing ushujaa.
Kwa picha za skrini, wasanidi programu wanaweza kutumia alama ya FLAG_SECURE ya programu za Android na alama sawa za iOS ili kuzuia uwezo wote wa picha za skrini wakati wa kutumia programu. Hata hivyo, tuseme utendakazi wa biashara unahitaji uwezo wa kupiga picha ya skrini (k.m. Kupiga picha ya skrini ya shughuli iliyokamilishwa ya PayNow). Katika hali hiyo, pendekezo ni kuzima uwezo wa kupiga picha za skrini kwa skrini au kurasa zinazojumuisha data nyeti (PII na Data ya Uthibitishaji).
Wasanidi programu wanaweza pia kuzingatia kuweka pembejeo kwa kutumia data nyeti na skrini za vitambuzi wakati programu inachimbwa.
Mambo ya kuzingatia
Baadhi ya zamaniampmaelezo ya mahali pa kuzima uwezo huu wa kupiga picha za skrini ni pamoja na, lakini sio tu: Kurasa za kuingia, kurasa za Uthibitishaji wa Vipengele Vingi, Kitambulisho cha Usalama, na kubadilisha kurasa za PII, n.k.
Udhibiti huu wa usalama unarejelewa katika viwango vingine. Tafadhali rejelea nyaraka zilizotolewa katika:
· Kiwango cha Uthibitishaji wa Usalama wa Maombi ya Simu ya OWASP (MASVS) v2.0.0 (2023), uk. 31. · Mwongozo wa Majaribio ya Usalama wa Programu ya Simu ya OWASP (MASTG) v1.7.0 (2023), uk. 166-168, 257,
259, 265-267, 366, 480-481. · Miongozo ya Usimamizi wa Hatari ya Teknolojia ya MAS (2021), uk. 56. · ENISA Smartphone Secure Development Guidelines (2016), uk. 8.
44

USTAHILI-BP07
Udhibiti
Programu hutekelezea upigaji wa kizuia vitufe au kizuia keylogger dhidi ya kibodi pepe za watu wengine.
Maelezo
Kunasa vitufe na kuandika vitufe ni mbinu ambazo watendaji hasidi hutumia kufuatilia, kuweka kumbukumbu na kurekodi vitufe vilivyobonyezwa kwenye kibodi bila ufahamu na idhini ya mtumiaji. Hii inaruhusu kuingia na kunasa data inayoweza kuwa nyeti (yaani, PII na Data ya uthibitishaji).
Kwa kutekeleza hatua za kupinga ubonyezo na uwekaji kumbukumbu, wasanidi programu wanaweza kuzuia upotevu usio wa lazima wa data nyeti. Hasa zaidi, udhibiti huu unalenga vifaa vya Android, kwani kibodi asili ya vifaa vya Android inaweza kubadilishwa. Mabadiliko kama haya yanaweza kufichua programu kwenye udhaifu wa kiusalama kwa vile njia inayoaminika kati ya ingizo la kibodi na programu ina watu wasioaminika kati yao.
Mwongozo wa utekelezaji
Wasanidi programu hawapaswi kuruhusu kibodi pepe zisizo salama za watu wengine zitumike kwa ingizo ambazo zinaweza kuwa na data nyeti. Kibodi maalum ya ndani ya programu inapendekezwa kwa ingizo kama hizo.
Kwa kutekeleza kibodi ya ndani ya programu, wasanidi programu wanaweza kudhibiti data ya kumbukumbu inapoenda na kupunguza hatari ya kibodi pepe za watu wengine zinazofanya kazi kama viweka vibao vya kunasa vibonye.
Pamoja na kutumia kibodi za ndani ya programu, wasanidi programu wanapaswa kutekeleza mapendekezo yafuatayo ya ingizo zinazohitaji data nyeti (yaani, PII na Data ya Uthibitishaji): Zima urekebishaji kiotomatiki, kujaza kiotomatiki, kupendekeza kiotomatiki, kukata, kunakili na kubandika kwa vitendakazi/au programu ambazo zina data nyeti. .
Mambo ya kuzingatia Baadhi ya zamaniampbaadhi ya vipengele vinavyopaswa kutumia kibodi za ndani ya programu ni pamoja na, lakini sio tu kuingia, kuingiza OTP, au vipengele vingine vya uthibitishaji, n.k.
Udhibiti huu wa usalama na mbinu bora zaidi hulenga vifaa vya Android. Lengo kuu ni kuhakikisha usalama wa njia inayoaminika. Kwa kuwa Android haitoi mbinu ya kutekeleza utumiaji wa kibodi asilia/zinazoaminika, wasanidi programu wanapaswa kutekeleza kibodi ya ndani ya programu ili kuhakikisha kwamba kibodi pepe zisizo salama za watu wengine hazirekodi taarifa.
Utekelezaji wa kibodi salama ya ndani ya programu hakupunguzii hatari zinazohusiana na kifaa kilichoathiriwa.
Udhibiti huu wa usalama unarejelewa katika viwango vingine. Tafadhali rejelea nyaraka zilizotolewa katika:
· Kiwango cha Uthibitishaji wa Usalama wa Maombi ya Simu ya OWASP (MASVS) v2.0.0 (2023), uk. 31. · Mwongozo wa Majaribio ya Usalama wa Programu ya Simu ya OWASP (MASTG) v1.7.0 (2023), uk. 203, 214-215,
257, 259, 400, 414-415. · Miongozo ya Usimamizi wa Hatari ya Teknolojia ya MAS (2021), uk. 56. · ENISA Smartphone Secure Development Guidelines (2016), uk. 08, 23.
45

Marejeleo

S/N 1
2
3
4
5
6 7

Hati ya Kiwango cha Uthibitishaji wa Usalama wa Programu ya Simu ya Mkononi ya OWASP (MASVS) v2.0.0 Mwongozo wa Majaribio ya Usalama wa Programu ya Simu ya OWASP (MASTG) v1.7.0 Miongozo ya Usimamizi wa Hatari ya Teknolojia ya MAS, Miongozo ya Usalama ya Kukubalika kwa Malipo ya Simu ya PCI v2.0.0 ENISA Miongozo ya Utengenezaji Salama ya Simu mahiri kwa Wasanidi Programu wa Hati ya Apple

Chanzo OWASP
OWASP
MAS
PCI-DSS
ENISA
Android Apple

Tarehe 2023
2023
2021
2017
2016
2024 2024

46

Nyaraka / Rasilimali

Programu ya Kawaida ya Usalama ya CSA [pdf] Mwongozo wa Mtumiaji
Safe Standard App, Safe Standard, App

Marejeleo

Machapisho Yanayohusiana

Acha maoni

Barua pepe yako haitachapishwa. Sehemu zinazohitajika zimetiwa alama *