我最近了解到,为了安全地存储密码,您应该使用带有salt的慢速加密哈希函数,并将哈希密码和salt存储在某些服务器中。
但是我应该如何安全地为离线应用程序存储密码?我担心,如果有人拿到用户电话,他们可以根据手机获取存储所有敏感信息的文件,并获取散列,用于散列的盐或只需用散列密码替换他们自己的哈希密码。我是否可以部署任何技巧来使我的离线应用密码更安全地存储?
编辑:为了澄清一点,我对保护用户密码比对应用程序的输入更感兴趣。
答案 0 :(得分:0)
散列密码通常存储在服务器上,因为这是明文密码被散列并与存储的散列进行比较的地方。您不传输哈希密码。
如果您担心保护手机上的数据,则无需以任何形式存储密码。使用密码作为种子生成加密密钥。每当用户想要访问数据时,让他们输入密码并使用相同的算法重新生成密钥。