例如,我需要在设备上保存重要数据(密码、令牌等),这些数据可以加密或不加密。我是否需要使用android.security KeyChain来进行安全数据存储?如果设备的用户对其进行了root处理,那么Keychain数据是否会受到攻击?有什么建议可以用于数据安全性?
2个回答
16
这是一个非常广泛的问题。也许已经有一个社区wiki提供了答案。无论如何,以下是与安卓安全存储相关的资源收集,应该会有帮助:
- 安卓开发者培训: http://developer.android.com/training/articles/security-tips.html
- 凭证存储API: http://nelenkov.blogspot.jp/2012/05/storing-application-secrets-in-androids.html 和 http://nelenkov.blogspot.no/2013/08/credential-storage-enhancements-android-43.html
- 你可以使用账户管理器来处理账户,并添加功能和属性来保留自定义数据:
- http://developer.android.com/training/sync-adapters/creating-authenticator.html
- http://developer.android.com/reference/android/accounts/AccountManager.html
- https://github.com/android/platform_development/tree/master/samples/SampleSyncAdapter
- http://nelenkov.blogspot.no/2012/11/sso-using-account-manager.html
- http://udinic.wordpress.com/2013/04/24/write-your-own-android-authenticator/
- andyandy
0
虽然这个问题太宽泛了,但我想说一下我的看法。
任何包含个人身份信息(PII)的数据,如果你想在Android设备上保存,都应该进行加密,否则就容易被嗅探、拦截或者被任何人读取。最佳实践是始终加密敏感数据。
Android KeyChain 可以用于安全数据存储。你可以阅读更多关于 Android 安全的最新 API 和最佳实践文档。但在我的移动安全经验中,任何已 root 的 Android 设备都会容易受到不同类型的攻击。除非你知道自己在做什么,否则最好不要对设备进行 root。
- warfreak92
网页内容由stack overflow 提供, 点击上面的可以查看英文原文,
原文链接
原文链接