(1) 认证信息和应用信息采用不同的通信信道，将会极大地提高认证的安全性。如果一个应用使用短信向服务器发送命令，那么用户发往服务器的认证信息，可以采用用户读出的方式通过语音通道进行发送。同时，如果是一个基于浏览的移动应用，可以向用户发起一个呼叫，并通过语音向用户读出提供给他的一次性口令，然后用户在这个语音呼叫挂断以前，采用击键的方式、通过语音信道，把该一次性口令发往服务器进行验证。使用这样的验证方式，即使在移动应用程序被突破的情况下，也能保证认证的安全性。

(2) 使用下载到移动设备的OTP应用。OTP(One-time-Password)也称动态口令，是根据专门的算法每隔60s生成一个与时间相关的、不可预测的随机数字组合，每个口令只能使用一次，这样攻击者就无法通过截取口令进行攻击，其安全性得以极大的提高。动态口令是一种安全、便捷的账号防盗技术，可以有效保护交易和登录的认证安全。一次性口令技术可以分为2 类：一类是基于时间的一次性口令，它是基于时间同步的方式来保证服务器和客户端之间口令的一致;一类是基于时间的一次性口令，这种方式基于事件技术来实现服务器和客户端之间的口令同步。

(3) 基于击键或声纹的生物认证。生物认证系统根据用户的打字节奏或声纹进行身份认证：击键认证方法验证已注册的用户输入模式，声纹认证方法则验证用户预先录制的一个声音。这些方法不需要任何特殊的硬件，这使得它们比较适合于移动用户的身份认证。

3.总结

综上所述，移动应用所面临的安全问题，与在台式机或笔记本环境下遇到的安全问题有很大不同，在解决移动应用安全问题时应参考以下几个原则。

(1)为了保障移动应用的安全，必须在流程和技术方面都有所改变。

(2) 任何一种认证方法都有可能被绕过，企业必须假设黑客可以绕过为移动应用部署的所有认证手段，因此必须部署欺诈防范措施来缓解后续风险。

(3) 应该建立一个多层次的欺诈防范系统，如果只有一个层次，则极有可能被突破，但是要突破多个层次的防范就会比较困难。

(4) 防范欺诈最主要是在终端层面上，无论移动应用是基于浏览器的方式，还是驻留在设备上的客户端方式，都需要为了这个目的进行必要的调整。

(5) 目前，常用的强认证手段主要是针对台式机或笔记本电脑环境，但是这些手段在移动环境下并不一定能达到理想的效果，因此必须研究和采用适用于移动应用环境的强认证方式，例如基于击键或声纹的生物认证等。

(责任编辑：)