Как хранить пароли в автономном режиме

Question

Хотя это ориентировано на Windows Phone 7, я думаю, что принцип универсален. Я хотел бы иметь защищенную паролем зону в моем приложении. Тем не менее, мое приложение полностью отключено, поэтому мне придется хранить учетные данные на телефоне. Моя первоначальная идея - хранить хэш пароля и соли. Будет ли это лучший путь? Если да, то должны ли хеш и соль храниться в виде простого текста, или есть ли способ обеспечить их шифрование? Я понимаю, что в конечном итоге взломать всю схему на телефоне, но как лучше поднять барьер? спасибо за любые предложения

Answer 1

Лично я бы зашифровал пароли с помощью соли, основанной на уникальном идентификаторе устройства (и, если возможно, некоторого пользовательского ввода, такого как действительно короткий пароль [собака, кошка, боб] - такого рода вещи).

Просто предложение.Пожалуйста, не отрицайте это, если не чувствуете, что это лучший.

Answer 2

Да, вы должны хранить хэш пароля и соли.Если вам неудобно хранить их в виде простого текста, вы также можете симметрично зашифровать эти данные.Но тогда вам также придется хранить симметричный ключ где-то еще.

При принятии решения о том, какой подход выбрать, учитывайте значение того, что защищено / защищено, и время, которое потребуется для шифрования / дешифрования (хотясомневаюсь, что это будет проблемой в ваших обстоятельствах.)

Как вы упомянули, также важно помнить, что безопасность - это процесс, а не то, что вы можете сделать один раз и забыть о нем.Важно периодически пересматривать методы обеспечения безопасности и быть в курсе изменений в передовых методах и нарушениях.

Тем не менее, я надеюсь, что безопасность даты на телефоне будет хорошей, по крайней мере, в течение многих месяцев.

Answer 3

Я бы просто сохранил MD5.