BYOD应用的安全性

与普通应用相比，BYOD由于存在客户端软件，以及“记住密码”功能通常会启用，因此对于口令或认证凭据的保护成为区别于传统应用的重中之重。

一般常见的问题是将用户的口令明文存在手机应用的配置文件中，或虽然使用加密存储但加密密钥也是存在于手机中的。

鉴于此，手机客户端不建议保存用户口令（即使加密后存储也不建议），如果需要保存认证凭据，可考虑的做法：

（1） 记住硬件ID，作为对设备或使用人的辅助认证；
（2） 首次认证使用口令，但口令需要使用服务器公钥进行加密，建立会话前应验证证书的有效性防止中间人劫持；后续的免输密码认证，不靠口令，而是类似SESSION_ID的一个字段，加密存储（可选对称加密或使用服务器证书公钥对此字段进行加密）；
（3） 定期（如一个月）清除会话，要求重新输入口令登录；更换设备要求重新认证；
（4） 传输通道启用HTTPS，且客户端建立会话前应验证证书的有效性。

采用以上机制后，遗失手机后的一小段时间内仍有可能被冒用，针对保密要求较高的应用，可结合应用界面的解锁口令或解锁手势以提高保护能力。

不过，最安全的解决方案还是客户端永远不要“记住密码”，每次登录都进行认证，口令不存储，认证时使用服务器公钥加密然后通过HTTPS通道发给认证服务器进行认证，保存口令的内存变量在使用后马上释放掉。 原创链接： http://www.cnblogs.com/-U2-/p/3499075.html  。