Защита мастер-пароля для шифрования в Android

Question

Я использую общую библиотеку шифрования для Android, как указано в этой ссылке: http://www.androidsnippets.com/encryptdecrypt-strings

Как мне зашифровать «Главный пароль», в настоящее время я жестко кодирую свой «Главный пароль» вкод.Я боюсь, что кто-нибудь может перепроектировать мой код и найти «Мастер-пароль».Таким образом они могут найти защищенные строки.

Пожалуйста, дайте мне знать, если есть какой-либо стандартный обходной путь.

Answer 1

Вы НЕ должны жестко кодировать пароль, мастер или нет, если система не предоставляет какой-либо безопасный контейнер.

Вы должны либо запрашивать мастер-пароль у пользователя при каждом запуске приложения, либо вы можете временно кэшировать пароль в памяти.

Вы можете сделать так, чтобы приложение удаляло пароль из памяти после того, как приложение не используется в течение предварительно определенного времени.

Кроме того, используйте функцию получения ключа, например PBKDF2, для получения криптографически безопасного ключа из простого текстового пароля.