我正在使用 Firemonkey 开发一个 android 应用程序。这个应用程序使用 Rest 向 WebApi 发出请求并返回 json 结果。API 已经开发完成,每个请求都需要将用户和密码作为查询字符串发送以返回数据。我的问题是:在 firemonkey (android) 中保存敏感数据的最佳方法是什么。当然,首先想到的是使用加密来存储这些数据,但是在 firemonkey 上是否有任何本机和安全的功能呢?
问问题
792 次
2 回答
1
不要保存它。如果确实需要安全,请根据需要从服务器请求它。如果密钥和数据保存在同一台机器上,就没有安全加密之类的东西。
于 2017-03-05T21:32:23.487 回答
0
不要加密密码,当攻击者获得数据库时,他也会获得加密密钥。
仅使用散列函数是不够的,仅添加盐对提高安全性无济于事。
相反,iIterate over an HMAC with a random salt for about 100ms duration and save the salt with the hash. 使用函数,如PBKDF2、和类似函数。关键是让攻击者花费大量时间通过蛮力寻找密码。password_hashBcrypt
不要在查询字符串中发送用户的密码,使用 HTTP 连接时它是明文的,使用 HTTPS 连接时它会被加密,但可能最终会出现在服务器日志文件中
于 2017-03-06T01:44:17.057 回答