Как безопасно хранить учетные данные (пароль) в приложении Android?

Ответ 1

В настоящее время это не эквивалент iPhone KeyChain в Android. Если вы хотите сохранить что-то секретное, не храните его на устройстве. Или, по крайней мере, не храните ключ/пароль, который он зашифрован на устройстве. Просто как тот.

Дополнительно:

1) Даже в ICS вы не можете напрямую использовать KeyChain для хранения секретов приложений (см. запись в блоге в 3))

2) Это только проблема для корневых телефонов, или если у кого-то есть физический доступ к устройству.

3) Намного лучше запомнить один пароль, защищающий все ваши учетные данные, чем попытки запомнить несколько паролей. Кроме того, в ICS нет отдельного пароля, хранилище учетных данных защищено паролем разблокировки устройства.

Ответ 2

Хеширование - это решение не хранить учетные данные как обычный текст в общих предпочтениях или любом носителе.

Просто соля и хэш-пароль, тогда вы можете продолжить его сохранение в sharedPreferences или вложенном db.

Вот как это работает:

Интернет

• Обычный (неуправляемый) пароль отправляется на сервер для аутентификации и amp; авторизация при успешном входе в систему.

• Соль может быть сгенерирована и возвращена с сервера на клиент или может быть сгенерирован на клиенте

• Затем сохраните его как соль и хеш-пароль и сохраните его.

Offline

• Ну, хэш вводит пароль, используя соль, которую мы сохранили

• Мы сравним с хешем, который мы сохранили при успешном входе в систему

• Если оба они равны, тогда хорошо разрешите пользователю в противном случае мы не разрешаем пользователю.

Преимущества:

• Итак, вам не нужно беспокоиться о совместимости версий.

• Даже если устройство укоренено так сильно, что грубая сила хеша.

• Даже если кто-то декомпилирует/трещит приложение, которое так сложно переделать