0
爲什麼我們不應該在iPhone應用程序的源代碼中存儲用於加密的密碼或密鑰?爲什麼我們不應該在iPhone應用程序的源代碼中存儲用於加密的密碼或密鑰?
有沒有可能讓人們逆向工程代碼並找到存儲的密鑰?或者如果硬代碼值存儲在易於訪問的位置?
A
回答
3
如果你在源代碼中存儲密鑰,是的,他們可以被反向設計。通過生成器函數生成密鑰可以使這更加困難,但這仍然是一個額外的混淆等級。一個真正積極的攻擊者可以通過這一點。這種方法的另一個缺點是,除非生成器函數生成從某些硬件常量派生的密鑰,否則相同的密鑰將適用於應用程序的所有實例。
同樣,您必須分析您希望應用程序的安全性以及您想要投入安全性的多少努力。安全始終是一種折衷。當攻擊的可能性或成本極不可能發生時,花費大量精力在安全上是不值得的。
更安全的方法是創建一個隨機密鑰,然後將其存儲在設備上的安全存儲中。我不太熟悉iOS Api,並且提供了這種功能。例如,在Windows上有一個叫DPAPI的東西提供了這個功能。
1
任何進入用戶手中的東西都是可訪問的。密鑰的模糊處理是工作的一部分,但並不能完全消除問題。
相關問題
- 1. 在iPhone應用程序的代碼中存儲OAuth密鑰
- 2. 我是否應該在我的iOS或Android應用程序中硬編碼存儲加密密鑰
- 3. 爲什麼不應該使用密碼作爲會話密鑰
- 4. 在PHP中使用AES加密時,應該在哪裏存儲密碼密鑰?
- 5. 我們在哪裏存儲密鑰/密碼/鹽進行加密?
- 6. 我應該使用哪個密鑰在iOS鑰匙串中存儲密碼?
- 7. 什麼我應該使用密鑰存儲關於應用程序?
- 8. 存儲加密密碼和salt或僅存儲加密密碼?
- 9. 在應用程序中存儲加密密鑰
- 10. 在iOS應用程序中存儲加密密鑰?
- 11. 在黑莓應用程序中存儲加密密鑰
- 12. 我應該加密我的Dropbox應用程序密鑰/祕密嗎?
- 13. 在開源應用程序中存儲保存的密碼
- 14. 我應該在我的iOS應用程序中加密Amazon S3密鑰嗎?
- 15. Phonegap db加密:我應該在哪裏存儲密碼?
- 16. iPhone應用程序中的密碼加密
- 17. 爲什麼在應用程序之外存儲API密鑰?
- 18. 在iPhone應用程序中存儲API密鑰不安全?
- 19. Web應用程序 - 存儲密碼
- 20. 爲什麼ASP.NET會員供應商不加密我的密碼
- 21. 將密鑰或密碼用於加密的最佳位置?
- 22. 在iPhone應用程序中存儲密碼
- 23. 在C源代碼中加密密碼
- 24. 我應該如何存儲密碼?
- 25. 開源桌面應用程序在磁盤上加密密碼
- 26. 爲什麼要在iPhone應用程序的鑰匙串中存儲用戶名和密碼
- 27. iPhone應用程序的密碼功能?
- 28. 帶密碼的iPhone應用程序
- 29. 如何在我的Qt應用程序中存儲密碼?
- 30. 我應該在哪裏存儲我的Node.js應用程序的密鑰?
是的,可能會有。 – jtbandes