您在此处:
外部客户端应用程序:移动应用程序设置:移动屏幕锁定
该控件强制实施强制身份验证机制,例如 PIN、密码或生物识别因素,这些机制必须在用户访问移动应用程序或设备环境之前成功验证。
控件名称
外部客户端应用程序:移动应用程序设置:屏幕锁定 - 选择
推荐配置
屏幕锁定 - 选择。
控制概览
该控件强制实施强制身份验证机制,例如 PIN、密码或生物识别因素,这些机制必须在用户访问移动应用程序或设备环境之前成功验证。
安全风险(如果未配置)
由于没有屏幕锁,对设备拥有物理访问权限的未经授权的个人可以绕过本地身份验证,并立即进入敏感的应用程序数据和经过身份验证的会话。
威胁场景
威胁行为者可以通过访问移动应用程序来泄露缓存的数据、执行未经授权的交易或获取会话令牌进行横向移动来利用丢失或被盗的设备。
估计的 CVSS 得分范围
高 (7.0–8.9)。
风险影响注意事项
潜在影响包括个人身份信息 (PII) 的未授权披露、知识产权的损失以及因未能保护静态数据而导致的违规。
高风险
如果应用程序在本地缓存敏感凭据,保留长期会话令牌,或在设备频繁更换的高盗窃环境中运行。
低风险
如果应用程序使用短会话超时,强制执行自己的应用程序级重新身份验证,或者如果设备是通过独立于操作系统锁加密数据的 Sandbox 管理的。
业务和集成注意事项
实施可能需要与移动设备管理 (MDM) 策略集成,或本地 API 调用来验证设备合规性,这会影响用户摩擦,并支持原有硬件的开销。
建议的补救措施
配置移动应用程序以查询操作系统的安全状态并限制对应用程序界面的访问,除非系统级屏幕锁定被验证为已启用。
安全健康审查指导
通过确保本地数据保持加密和不可访问,使移动安全状况与最低权限原则保持一致,直到通过成功的用户身份验证发布加密密钥。
另请参阅:
本文章是否解决您的问题?
请与我们共享您的想法,以便我们进行改进!
