認証と認可はほとんどのモバイルアプリ、特にリモートサービスに接続するもの、にとって不可欠なコンポーネントです。これらのメカニズムはセキュリティの追加のレイヤーを提供し、機密性の高いユーザーデータへの認可されていないアクセスを防ぐのに役立ちます。これらのメカニズムはリモートエンドポイントで実施する必要がありますが、アプリでも関連するすべてのベストプラクティスに従い、関連するプロトコルを安全に使用できるようにすることも同様に重要です。
モバイルアプリでは多くの場合、生体認証、PIN、多要素認証コードジェネレータなどのさまざまな形式の認証を使用してユーザーの身元を検証します。これらのメカニズムを正しく実装して、認可されていないアクセスを防止する効果を確保します。さらに、アプリによってはローカルアプリ認証にのみ依存し、リモートエンドポイントを持たないこともあります。このような場合、ローカル認証メカニズムが安全であり、業界のベストプラクティスに従って実装されていることを確保することが重要です。
このカテゴリのコントロールはアプリが認証と認可のメカニズムを安全に実装し、機密性の高いユーザー情報を保護し、認可されていないアクセスを防ぐことを確保することを目的としています。リモートエンドポイントのセキュリティは OWASP Application Security Verification Standard (ASVS) などの業界標準を使用して検証する必要があることに注意することが重要です。