如何脱机存储密码
虽然这是专注于Windows Phone 7,但我猜这个原则是普遍的。 我想在我的应用程序中有一个密码保护区域。 但是,我的应用程序完全脱机,因此我必须在手机上存储凭据详细信息。 我最初的想法是存储密码和盐的哈希值。 这会是最好的方式吗? 如果是这样,哈希和盐是否应以纯文本forms存储,或者是否有办法确保即使它们已加密? 我知道手机上的整个方案最终会被破解,但是什么是提高障碍的最佳途径? 谢谢你的任何建议
是的,你应该存储密码和盐的哈希值。 如果您对以纯文本格式存储这些内容感到不舒服,您也可以对这些细节进行对称加密。 但是你必须在某处存储对称密钥。
在决定采用哪种方法时,请考虑保护/保护的内容的价值以及加密/解密所需的时间(尽管我怀疑这在您的情况下会成为一个问题。)
正如您所提到的,记住安全性是一个过程而不是您可以做的一次而忘记的事情也很重要。 定期检查安全实践并及时了解最佳实践和违规行为的变化非常重要。
也就是说,我确实希望电话上的日期安全至少可以好几个月。
就个人而言,我会使用基于设备唯一ID的盐来加密密码(如果可能的话,还有一些自定义用户输入,比如真正的短密码[dog,cat,bob] – 那种事情)。
只是一个建议。 如果你觉得它不是最好的,请不要贬低它。
我只是存储MD5。