如何在 firemonkey 中将敏感数据保存为密码?
How to save sensitive data as a password in firemonkey?
我正在使用 Firemonkey 开发 android 应用程序。此应用程序使用 Rest 和 returning json 结果向 WebApi 发出请求。 API 已经开发,每个请求都需要将用户和密码作为查询字符串发送到 return 数据。我的问题是:在 firemonkey (android) 中保存敏感数据的最佳方法是什么。当然,首先想到的是使用加密来存储此类数据,但是 firemonkey 上是否有针对此的原生和安全功能?
不要保存。如果它确实需要安全,请根据需要从服务器请求它。如果密钥和数据保存在同一台机器上,就没有安全加密。
不要加密密码,当攻击者获得数据库时,他也将获得加密密钥。
仅使用哈希函数是不够的,仅添加盐对提高安全性也无济于事。
而是使用随机盐对 HMAC 进行迭代约 100 毫秒,并将盐与哈希一起保存。使用 PBKDF2
、password_hash
、Bcrypt
等函数和类似函数。重点是让攻击者花费大量时间通过暴力破解找到密码。
不要在查询字符串中发送用户密码,使用 HTTP 连接时它是明文的,使用 HTTPS 连接时它将被加密但可能最终出现在服务器日志文件中
我正在使用 Firemonkey 开发 android 应用程序。此应用程序使用 Rest 和 returning json 结果向 WebApi 发出请求。 API 已经开发,每个请求都需要将用户和密码作为查询字符串发送到 return 数据。我的问题是:在 firemonkey (android) 中保存敏感数据的最佳方法是什么。当然,首先想到的是使用加密来存储此类数据,但是 firemonkey 上是否有针对此的原生和安全功能?
不要保存。如果它确实需要安全,请根据需要从服务器请求它。如果密钥和数据保存在同一台机器上,就没有安全加密。
不要加密密码,当攻击者获得数据库时,他也将获得加密密钥。
仅使用哈希函数是不够的,仅添加盐对提高安全性也无济于事。
而是使用随机盐对 HMAC 进行迭代约 100 毫秒,并将盐与哈希一起保存。使用 PBKDF2
、password_hash
、Bcrypt
等函数和类似函数。重点是让攻击者花费大量时间通过暴力破解找到密码。
不要在查询字符串中发送用户密码,使用 HTTP 连接时它是明文的,使用 HTTPS 连接时它将被加密但可能最终出现在服务器日志文件中