例如,我需要在设备上保存重要数据(密码、令牌等),这些数据可以加密或不加密。我是否需要使用android.security KeyChain来进行安全数据存储?如果设备的用户对其进行了root处理,那么Keychain数据是否会受到攻击?有什么建议可以用于数据安全性?
这是一个非常广泛的问题。也许已经有一个社区wiki提供了答案。无论如何,以下是与安卓安全存储相关的资源收集,应该会有帮助:
虽然这个问题太宽泛了,但我想说一下我的看法。
任何包含个人身份信息(PII)的数据,如果你想在Android设备上保存,都应该进行加密,否则就容易被嗅探、拦截或者被任何人读取。最佳实践是始终加密敏感数据。
Android KeyChain 可以用于安全数据存储。你可以阅读更多关于 Android 安全的最新 API 和最佳实践文档。但在我的移动安全经验中,任何已 root 的 Android 设备都会容易受到不同类型的攻击。除非你知道自己在做什么,否则最好不要对设备进行 root。