密碼鑰匙鏈 - 人們忘記密碼

Question

我有一個可以存儲機密信息的iOS應用程序，並且也使用iCloud的到它的核心數據設備之間同步（數據本身的核心數據中加密）。

人們可以保護應用程序使用密碼，也可以創建兩個祕密問題，幫助他們找回丟失的密碼。

密碼和祕密問題保存在鑰匙串中。

很多時候我得到的支持請求是說：「嘿，我忘了我的密碼，我也忘了回答我的祕密問題，所以現在我不能訪問我的寶貴的數據。請幫助」。

有些人還說，他們試圖刪除應用程序並重新安裝它（知道數據將從iCloud重新同步），假設這會重置密碼，這當然不會發生。

目前我無法幫助這些人。

現在問題來了。

一方面，它很容易讓我清除密碼，並從第一次啓動鑰匙串祕密問題，所以，如果他們刪除並重新安裝App的人可以創造一個新的。

但是，這似乎造成了安全漏洞。未經授權的人員獲取該設備可以刪除該應用程序，重新安裝該應用程序，創建一個新密碼，讓應用程序與iCloud同步並訪問機密數據。

我相信還有更多無辜的人誰忘記了自己的密碼比人試圖竊取其他人的數據，但我還是覺得捨不得走「的簡單方法」。

您認爲如何？

Answer 1

簡短的回答：對於可能少數人誰受到影響，這裏有一個想法：首先嚐試備份到iTunes，與「加密本地備份」選中（這留下了鑰匙圈）。然後擦除並從該iTunes備份恢復設備。這應該把應用程序和它的數據放回到設備上，但沒有鑰匙串。請注意，我還沒有嘗試過，因此請在聯繫用戶使用此解決方案之前進行測試。有關相關說明，請參閱：http://support.apple.com/kb/TS4108。

更長的想法：我認爲在首次運行時刪除用戶鑰匙串數據違背了用戶的期望。 Apple在應用程序卸載後維護鑰匙串，以便用戶不會丟失數據。 Apple向用戶提供的保護措施 - 密碼鎖定，數據擦除 - 以及開發人員可以實施的安全功能 - 鑰匙串，文件加密 - 實際上涵蓋了安全漏洞問題，因此，你處理這個。

不幸的是，無論如何，這仍然會讓你停留在目前的用戶身上。蘋果真的需要像在OS X上一樣提供設備級別的用戶帳戶，以便將鑰匙串鎖定到特定帳戶。但在現實世界中，我們仍然堅持要求用戶註冊時間不合時宜的電子郵件地址來提供密碼重置電子郵件。這聽起來像你的用戶帳戶存儲在本地，但是。