我剛剛注意到這個article關於一個以明文存儲用戶信息的移動應用程序。我已經注意到將用戶密碼存儲在服務器上的想法(使用SHA-512散列函數),但我不清楚在設備本身存儲個人信息的最佳方法。在iOS設備上安全存儲個人用戶數據
讓我明確我基本上只談論用戶名和密碼。我的應用程序與之交互的數據一點都不敏感,而且我知道我可以對該數據實施某種對稱加密/解密。
爲了方便用戶,我想爲用戶提供一個選項,以便在本地存儲他們的用戶名和密碼,這樣他們在每次使用應用程序時都不需要輸入它。但我知道用戶傾向於重複使用相同的密碼以實現多種用途,這意味着我需要採取預防措施以保護我的用戶密碼安全。經典的方便和安全之間的緊張關係
在本地存儲這些信息只是一個可怕的想法嗎?還是有相對簡單的手段來安全地加密這個? iOS和Android操作系統是否提供這方面的幫助?
沒有必要尋找詳盡的答案,但我真的很感謝一些研究課題,文章鏈接,書籍等。非常感謝。如果這是一個多餘的問題,請將我引導至任何提供仍被認爲是最新的答案的帖子。
非常感謝!
爲什麼不使用PBKDF2而不是sha256(device_salt || plaintext)。另外可以使用校準函數'CCCalibratePBKDF'來獲得回合的數量。另外HMAC是一個更好的選擇,而不僅僅是將鹽與明文和哈希連接起來。 – zaph