您在此处:
管理连接的应用程序的移动策略:移动 PIN 复杂性
此安全设置通过要求至少有 8 位数字顺序来解锁移动界面,从而为本地应用程序访问规定了特定的加密熵级别。
控件名称
连接的应用程序:管理连接的应用程序的移动策略:移动 PIN 复杂性
推荐配置
固定长度 - 选择“8 位数字”。
控制概览
此安全设置通过要求至少有 8 位数字顺序来解锁移动界面,从而为本地应用程序访问规定了特定的加密熵级别。
安全风险(如果未配置)
移动连接的应用程序的 PIN 长度要求薄弱,导致本地数据易受简单暴力攻击或未经授权的个人观察到的 PIN 猜测的漏洞。
威胁场景
通过快速试错序列或识别用于低复杂性身份验证的通用数字模式,实际拥有移动设备的攻击者成功绕过了短的 4 位 PIN。
估计的 CVSS 得分范围
高 (7.0–8.9)。
风险影响注意事项
不强制实施 8 位 PIN 会为未经授权进入移动应用程序提供便利,授予对缓存的客户记录的完整访问权限,并允许使用有效会话令牌执行 API 调用。
高风险
当应用程序在肩膀冲浪盛行的公共环境中使用时,或者当组织在多次尝试失败后没有强制执行严格的锁定策略时。
低风险
如果组织启用生物识别身份验证作为主要解锁机制,仅将 8 位 PIN 用作身份验证的高安全性后备。
业务和集成注意事项
8 位 PIN 是保护高度敏感的公司智能的推荐标准,而较短的 PIN 可能适合非敏感的实用程序应用程序,以优先考虑用户的便利性。
建议的补救措施
转到连接的应用程序的移动应用程序设置,找到 PIN 长度字段,并选择 8 位数字选项,以增加未经授权的本地访问的难度。
安全健康审查指导
安全健康审查将 8 位 PIN 识别为移动安全的强烈建议标准,以确保暴力攻击的数学难度足以保护组织周边的完整性。
另请参阅:
本文章是否解决您的问题?
请与我们共享您的想法,以便我们进行改进!
