ディスカッション：パスワードキーパーのための暗号化Androidアプリケーション

Question

先日、Googleは、私のGmailアカウントが、通常の場所から2つのIPアドレスでアクセスされたために盗まれた可能性があることを通知しました。私は一般的に（とばかげて）すべてのウェブサイトに同じパスワードを使用するので、私は物事を変更し、別のパスワードを使用することにしました。

Androidの開発者であるため、ユーザー名とパスワードを保存できるパスワードキーパーアプリケーションの開発を開始することに決めました。異なるパスワードを覚えにくいためです。簡単なルートを使用して既存のサードパーティのパスワードキーパーアプリケーションをダウンロードしたくありません。

私の考えでは、アプリケーションでユーザー名とパスワードを保護する最も良い方法は何ですか？現在、追加できるアカウントのリストを表示するにはパスワードが必要です。また、ユーザー名とパスワードをデータベースに格納しています。しかし、Androidはネイティブにデータベースを暗号化できないようだ。データベースに保存されている値を暗号化することはできますが、誰かが自分の携帯電話に手を差し伸べると、本当にしたいと思ったら暗号化を見つけることができます。または、暗号化/復号化のためにサーバーを使用することもできますが、維持しなければならないサーバーがあります。

私はこのトピックについていくつかの意見をいただきたいと思います。完成度が達成できないことは分かっていますが、Androidアプリケーションの実装にはどのような方法が適していますか？

Answer 1

パスワードリストを追加/表示するたびに、PINまたはパスワードを入力する必要がありますか？なぜ誰かがあなたの電話を取得した場合でも、ユーザーが定義したキーを知らずにパスワードにアクセスしたり復号したりすることを意味する暗号化キーとして使用しないでください。

Answer 2

1passwordのアプリケーションを見てください。これはおそらく、市場で最も優れたパスワードキーパーアプリです。彼らの哲学は、1passwordを使用する128bit暗号化の背後にすべてのパスワードを格納することです。それ以外のすべてのWebサイトのパスワードは、ランダムに生成される英数字の文字列です。したがって、実際に衝突の機会はなく、あなたが閲覧した場所で安全です。

あなたはパスワードがどこかにあると想定できるという意味のサーバーを使用しないでください。あなたが良いアプリの開発者であれば、サーバー上のパスワードはクライアント側と同じように安全です。

「本当にしたい」と思ったら暗号化を見つけるのは、ユーザーが1つのパスワードを選択するまでは、すべての情報をキーにしています。はい、ブルートフォースで暗号を解読することは可能ですが、ユーザーが辞書のないアルファベット文字列を選択した場合、通過する確率はほぼ不可能です。また、すべてを適切に暗号化すれば、暗号化を「破る」ことはできません。

最終理由だけで私はでき

クレジット