我正在使用Firemonkey开发一个Android应用程序。此应用程序使用Rest向WebApi发出请求并返回json结果。 API已经开发,每个请求都需要将用户和密码作为查询字符串发送以返回数据。我的问题是:在firemonkey(android)中保存敏感数据的最佳方法是什么。当然使用加密来存储这样的数据是首先想到的,但是在firemonkey上是否存在任何原生和安全功能?
答案 0 :(得分:1)
不要保存。如果它确实需要安全,请根据需要从服务器请求它。如果密钥和数据保存在同一台机器上,则无法进行安全加密。
答案 1 :(得分:0)
不加密密码,当攻击者获得数据库时,他也会获得加密密钥。
仅仅使用哈希函数是不够的,只添加一个盐对提高安全性没什么作用。
相反,使用随机盐对HMAC进行大约100毫秒的持续时间并使用哈希值保存盐。使用PBKDF2
,password_hash
,Bcrypt
等功能以及类似功能。重点是让攻击者花费大量时间通过暴力破解密码。
不要在查询字符串中发送用户密码,HTTP连接是明文,使用HTTPS连接时,它会被加密,但最终可能会出现在服务器日志文件中