如何离线存储密码

Question

虽然这是针对 Windows Phone 7 的，但我想这个原理是通用的。我想在我的应用程序中有一个密码保护区。但是，我的应用程序完全离线，因此我必须在手机上存储凭据详细信息。我最初的想法是存储密码和盐的哈希值。这会是最好的方法吗？如果是这样，哈希和盐应该以纯文本形式存储，还是有办法确保即使它们也被加密？我知道将整个计划放在手机上最终会被破解，但是提高障碍的最佳方法是什么？感谢您的任何建议

Answer 1

就我个人而言，我会使用基于设备唯一 ID 的盐来加密密码（如果可能的话，一些自定义用户输入，例如非常短的密码 [dog, cat, bob] - 诸如此类)。

只是一个建议。如果您觉得它不是最好的，请不要投反对票。

Answer 2

是的，您应该存储密码和盐的哈希值。如果您不愿意以纯文本形式存储这些信息，您也可以对称地加密这些细节。但是你还必须将对称密钥存储在某个地方。

在决定采用哪种方法时，请考虑受保护/保护的内容的价值以及加密/解密所需的时间（尽管我怀疑这在您的情况下会成为一个问题。）

正如您所提到的，同样重要的是要记住，安全是一个过程，而不是您可以做一次就忘记的事情。定期审查安全实践并及时了解最佳实践和违规的变化非常重要。

也就是说，我确实希望手机上日期的安全性至少可以保持好几个月。

Answer 3

我会简单地存储 MD5。