Làm sao để bảo mật các ứng dụng như ngân hàng, ví điện tử?

Các ứng dụng tài chính, ngân hàng trên thị trường đang phục vụ hàng triệu người dùng lớn đến nhỏ. Không phải tất cả trong số chúng đều có cơ chế kiểm soát tốt trong việc bảo mật hệ thống, bảo mật cho người dùng.

Nếu các ứng dụng được phát triển và không quan tâm tới vấn đề bảo mật thì rất nguy hiểm. Nhiều rủi ro mất mát tiền, lộ dữ liệu người dùng và phát sinh việc lừa đảo công nghệ cao. Nhiều doanh nghiệp họ chưa đưa ra nhiều ngân sách trong việc xây dựng đội ngũ bảo mật ứng dụng của họ. Với các doanh nghiệp nước ngoài, họ đánh giá rất cao việc tối ưu bảo mật cho các ứng dụng của họ trong quá trình phát triển phần mềm, hạn chế rủi ro cho khách hàng.

Các nhà phát triển cần làm gì để một ứng dụng được bảo mật hơn khi tới tay người dùng?

Hãy luôn phân quyền rõ ràng các chức năng của người dùng.

Phân quyền để ràng buộc các tài nguyên mà người dùng có thể truy cập một cách không bị lạm dụng, chiếm đoạt. Nên giới hạn cả phiên đăng nhập của người dùng trong một thời gian nhất định.

Gây rối (Obfuscation) mã nguồn một cách có chủ đích.

Bảo mật app mobile

Các mã nguồn được lập trình cần được gây rối một cách hoàn hảo. Khi hacker dịch ngược mã nguồn ứng dụng di động thì việc phân tích mã nguồn đã được gây rối sẽ rất mất thời gian và an toàn hơn cho chúng ta kịp thời khắc phục. Hacker sẽ khó để tạo ra một logic trong app cụ thể để đánh lừa hệ thống.

Mã hoá các truy vấn API, khoá bí mật và mật khẩu.

Một ứng dụng luôn phải trao đổi dữ liệu với server thì cũng phải bảo mật để tránh kẻ xấu giả mạo người dùng thật sự. Hãy luôn sử dụng các giao thức HTTPS SSL khi kết nối Internet. Ngoài ra nên tránh gửi/nhận các dữ liệu dạng thô (raw) với máy chủ. Thay vào đó hãy mã hoá luôn API, các mật khẩu. Chúng ta phải trao đổi với nhau bằng các thuật toán dạng public key/private key để hacker không thể gửi một yêu cầu giả mạo đến server.

Luôn xác thực đầu vào.

Không được tin tưởng những gì người dùng tải lên, có thể đó là con dao 2 lưỡi. Các hacker luôn tìm cách đưa những mã độc vào hệ thống của chúng ta. Luôn kiểm tra kỹ mọi thông tin được gửi đến hệ thống của chúng ta. Không cho người dùng sử dụng những thiết bị đã được root/jairbreak để sử dụng ứng dụng tài chính. Ngoài ra luôn kiểm tra các nguồn cài đặt ứng dụng xem chúng có đến từ những nơi an toàn như Google Play Store, Apple Store. Các ứng dụng này tiềm ẩn mối nguy hại rất cao cho hệ thống.

Nên có tính năng xác thực nhiều bước để tăng mức độ an toàn khi không may hacker mới chỉ chiếm được một phần tài khoản và khó có thể chiếm hoàn toàn quyền kiểm soát tài khoản.

Kiểm tra bảo mật định kỳ.

Luôn cập nhật các công nghệ bảo mật mới nhất, không cho người dùng sử dụng những mật khẩu dễ đoán. Với các app xác thực sinh trắc ở thiết bị người dùng, không nên sử dụng vân tay, khuôn mặt mà không được đăng ký lại.

Ngoài ra chúng ta nên xây dựng hệ thống cảnh báo tới người dùng nếu có xâm nhập trái phép hoặc không tin tưởng. Luôn cập nhật các bản vá lỗi từ các nhà phát triển phần mềm. Bất kể mọi nguyên nhân gì, sự bảo mật là ưu tiên quan trọng trong việc phát hành sản phẩm ra thị trường.