我正在想象如何在桌面应用程序中存储应用程序的秘密和密钥。例如Facebook应用程序密钥或Dropbox密钥和密钥。我已经阅读过,应该使用哈希、盐、加密等方法来保护这些值。这是为了防止有人通过逆向我的代码并查看密钥。这都很好,但是使用所有这些方法,我只是将某个地方的盐或哈希值存储起来,而不是密钥本身。最终,如果黑客可以获取盐/哈希值和可能的源代码,他们仍然可以解密加密的密钥并获取我的密码/密钥/秘密吗?
我阅读过的一个最安全的选择是根本不在桌面应用程序中存储此值,而是调用Web服务以获取密钥(可能是加密的)。但是我想问的是,即使在这种情况下,一位优秀的黑客也肯定会执行内存转储或其他操作,以查看从Web服务返回的值,然后我们回到起点。
下一个最佳选择似乎是隐匿性。我是否完全错过了什么?
顺便说一句,黑客会对Facebook/Twitter/Dropbox等秘钥感兴趣吗?毕竟他们还需要用户的凭据或访问令牌才能使用它?
欢迎任何建议或建议。
我阅读过的一个最安全的选择是根本不在桌面应用程序中存储此值,而是调用Web服务以获取密钥(可能是加密的)。但是我想问的是,即使在这种情况下,一位优秀的黑客也肯定会执行内存转储或其他操作,以查看从Web服务返回的值,然后我们回到起点。
下一个最佳选择似乎是隐匿性。我是否完全错过了什么?
顺便说一句,黑客会对Facebook/Twitter/Dropbox等秘钥感兴趣吗?毕竟他们还需要用户的凭据或访问令牌才能使用它?
欢迎任何建议或建议。