我想将用于登录我正在开发的金融应用程序的密码存储在安全的地方。在做了一些网上冲浪后,我发现了以下选项,但每个选项都有一定的缺点。
1) 钥匙串。
仅适用于操作系统版本 4。
2) 共享偏好。
它以纯文本形式存储数据,即使我对数据进行了加密,也可以通过反编译应用程序代码来破坏加密密钥。
3) 访问密钥库守护进程并将凭据存储在其中。
(http://nelenkov.blogspot.com/2012/05/storing-application-secrets-in-androids.html)
需要另一个密码才能记住。
请建议我一种更好的方法来保护 Android 应用程序(如 iPhone KeyChain)中的凭据信息。
【问题讨论】:
散列是解决方案 不要将凭据作为纯文本存储在共享首选项或任何媒体中。
只需对密码进行加盐和哈希处理,然后您就可以继续将其存储在 sharedPreferences 或某些嵌入式数据库中。
在线
普通(未散列)密码被发送到服务器进行身份验证和 登录成功后授权。
盐可以生成并从服务器返回到客户端 或者可以在客户端生成
然后将其存储为盐并哈希密码并存储它。
离线
我们将使用我们存储的盐对用户输入的密码进行哈希处理
我们将与成功登录时存储的哈希值进行比较
如果两者相等,那么我们会让用户进入,否则我们不会让用户进入。
所以现在您不必担心版本兼容性问题了。
即使设备已植根,也很难暴力破解哈希。
即使有人反编译/破解了应用程序,也很难进行逆向工程
【讨论】:
目前在 Android 中不等同于 iPhone 的 KeyChain。如果您想保密,请不要将其存储在设备上。或者至少,不要将加密的密钥/密码存储在设备上。就那么简单。
另外:
1) 即使在 ICS 上,您也不能直接使用 KeyChain 来存储应用程序机密(请参阅 3 中的博文)
2) 这仅适用于 root 手机,或者如果有人可以物理访问该设备。
3) 记住一个密码,保护所有的凭据,比记住多个密码要好得多。此外,在 ICS 上,没有单独的密码,凭证存储受设备解锁密码保护。
【讨论】: