首页> 安全资讯 > 数据加密,移动应用安全软键盘到底有多重要

数据加密,移动应用安全软键盘到底有多重要

发布时间:2021-03-18

基于键盘输入窃取信息的各类移动安全攻击非常普遍。一些流行的键盘输入攻击包括:输入数据监听攻击、键盘劫持攻击、键盘截屏攻击、输入数据篡改攻击、破解加密算法、未加密前篡改、窃取输入后存储数据和来自系统底层的内存dump攻击等。因此,采用安全的输入法键盘十分必要。

为了保证用户输入的保密性,应该提供应用程序自主开发的软键盘功能, 而不调用系统默认软键盘。目前自主开发的软键盘有二种方式:自绘固定键盘和自绘随机键盘。

 

1、 自绘固定键盘,可以避免使用被劫持的系统默认输入,降低敏感数据泄露的风险,但对于键盘记录的防御能力有限。黑客可以记录到键盘点击的位置坐标。

2 、自绘随机键盘是安全性最高的输入方式,不仅避免了被第三方输入法劫持,并且键盘上每次点击位置都是随机的,无法恢复出用户输入的数据。

 

针对在移动客户端运行时普遍存在的安全输入需求,爱加密可提供易于集成的标准安全软键盘SDK,安全软键盘SDK可以被重复应用到不同应用中,保证安全模块开发实施的一致性及标准性,避免因为不同团队开发经验、开发风格等差异造成的不一致性及后期维护问题。爱加密安全键盘SDK,用户根据开发帮助文档进行开发,有效防止键盘被非法程序进行监听后获取账号密码等隐私信息。

 

核心技术

键盘字符混排

键盘字符混排在输入账号密码时随机生成键盘,使每次输入的点击位置都不相同。此方法可以有效防护攻击者通过adb shell的方式,记录操作按键键位以反推出用户输入的字符信息。这样,就算攻击者能够监控到键盘的按键记录,也会因随机键盘而难以猜测出用户输入的内容,大大提升安全性。

 

键盘防截屏(仅Android)

爱加密安全软键盘SDK还嵌入了防截屏功能,有效防止攻击者通过截屏技术窃取用户输入的信息。

 

显示去标识化

爱加密安全软键盘对用户的输入字符做了去标识化处理。在用户输入明文密码时,将明文信息立即转化为*字符进行显示,键盘无回显,并添加了水印效果以提升安全性。

 

移动端软键盘

用户通过安全键盘输入明文数据,数据在内存中进行去标识化处理,并且使用密钥白盒算法对数据进行加密,支持SM2算法,服务端对接收到的密文数据进行解密,保证在传输过程中只有密文的数据。

 

H5软键盘

用户点击输入框向服务端发起请求,服务端收到请求后生成混排的键盘图片并推送到浏览器。用户点击键位输入密码,安全键盘记录键位,并且使用密钥白盒算法(支持SM2算法)采用一次一密的方式对键位进行加密后传输给服务端,服务端对接收的数据进行解密,保证在传输过程中只有密文的数据。

 

密码安全校验策略

安全键盘提供接口判断用户输入的密码的字符类型、长度及组合方式,从而判断输入的是否是弱密码。

 

优势价值

爱加密安全软键盘支持SM2等非对称安全加密算法,除了标准的加密算法调用外,在数据输入、输出的关键节点,程序还做了特殊的加密处理。在数据输入阶段,为保证数据不在内存中明文存储,防止黑客通过内存dump技术直接获取明文密码,程序对内存中的存储数据进行了去标识化处理。对加密后的密文数据再进行排序、重编码等,提升了加密强度。保证安全软键盘算法本身安全性的同时,对算法本身进行了秘钥白盒封装,加强了其安全性。

 

防止输入数据被监听导致银行卡号、密码等敏感信息泄露;

防止通过键盘劫持获取银行卡号、密码等敏感信息;

防止通过键盘截屏获取银行卡号、密码等敏感信息。


加入收藏