如何在firemonkey中将敏感数据保存为密码?

时间:2017-03-05 21:29:55

标签: android delphi firemonkey delphi-10.1-berlin firemonkey-fm3

我正在使用Firemonkey开发一个Android应用程序。此应用程序使用Rest向WebApi发出请求并返回json结果。 API已经开发,每个请求都需要将用户和密码作为查询字符串发送以返回数据。我的问题是:在firemonkey(android)中保存敏感数据的最佳方法是什么。当然使用加密来存储这样的数据是首先想到的,但是在firemonkey上是否存在任何原生和安全功能?

2 个答案:

答案 0 :(得分:1)

不要保存。如果它确实需要安全,请根据需要从服务器请求它。如果密钥和数据保存在同一台机器上,则无法进行安全加密。

答案 1 :(得分:0)

不加密密码,当攻击者获得数据库时,他也会获得加密密钥。

仅仅使用哈希函数是不够的,只添加一个盐对提高安全性没什么作用。

相反,使用随机盐对HMAC进行大约100毫秒的持续时间并使用哈希值保存盐。使用PBKDF2password_hashBcrypt等功能以及类似功能。重点是让攻击者花费大量时间通过暴力破解密码。

不要在查询字符串中发送用户密码,HTTP连接是明文,使用HTTPS连接时,它会被加密,但最终可能会出现在服务器日志文件中