La mejor opción para almacenar nombre de usuario y contraseña en la aplicación de Android

Question

Estoy desarrollando una aplicación donde el usuario necesita iniciar sesión para realizar operaciones ... pero principalmente en teléfonos celulares Android use "mantenerme conectado" ... y en este caso Tendré que mantener el valor del nombre de usuario y la contraseña dentro de mi aplicación. ¿Debo usar las preferencias o SQLite Db o hay algo más y cómo puedo hacerlo seguro? Plz Ayuda ... Gracias de antemano ..

Answer 1

Por lo menos, almacenarlo en SharedPreferences (modo privado) y no se olvide de hash de la contraseña. Aunque esto no marcará realmente la diferencia con un usuario malintencionado (o dispositivo rooteado), es algo.

Answer 2

Sí, esto es complicado en Android. No desea almacenar la contraseña de texto claro en las preferencias, ya que cualquier persona con un dispositivo rooteado básicamente mostrará su contraseña al mundo. Por otro lado, no puede usar una contraseña encriptada, ya que tendría que almacenar su clave de cifrado/descifrado en algún lugar del dispositivo, nuevamente susceptible al ataque raíz.

Una solución que utilicé hace un tiempo es hacer que el servidor genere un "ticket" que devuelve al dispositivo, lo que es bueno para un cierto período de tiempo. Este boleto es usado por el dispositivo para todas las comunicaciones, usando SSL por supuesto para que la gente no pueda robar su boleto. De esta forma, el usuario autentica su contraseña en el servidor una vez, el servidor devuelve un ticket vencido y la contraseña nunca se almacena en ningún lugar del dispositivo.

Varios mecanismos de autenticación de tres patas, como OpenID, Facebook, incluso Google API, utilizan este mecanismo. Las desventajas son que de vez en cuando, cuando el ticket caduca, el usuario necesita volver a iniciar sesión.

En última instancia, depende de cuán segura quiere que sea su aplicación. Si esto es simplemente para distinguir a los usuarios, y no se almacena información supersecreta como cuentas bancarias o tipos de sangre, entonces guardar el pwd en texto sin formato en el dispositivo está bien :)

Buena suerte, cualquiera que sea el método que decida ¡es lo mejor para su situación particular!

Editar: Debo señalar que esta técnica transfiere la responsabilidad de la seguridad al servidor; querrá utilizar hashes salados para la comparación de contraseñas en el servidor, una idea que verá en algunos de los otros comentarios para este pregunta. Esto evita que la contraseña de texto claro aparezca en cualquier lugar, excepto la vista Editar texto en el dispositivo, la comunicación SSL al servidor y la memoria RAM del servidor a la vez que elimina y contrae la contraseña. Nunca se almacena en el disco, que es una buena cosa (tm).

Answer 3

Como han dicho otros, no existe una forma segura de almacenar una contraseña en Android que proteja los datos completamente. Hashing/encriptación de la contraseña es una gran idea, pero lo único que hará es ralentizar la "cracker".

Dicho esto, esto es lo que hice:

1) He utilizado este simplecryto.java class que tiene una semilla y un texto y lo cifra. 2) Usé SharedPreferences en modo privado que protege el archivo guardado en dispositivos no rooteados. 3) La semilla que utilicé para simplecryto es una matriz de bytes que es un poco más difícil de encontrar por descompiladores que una cadena.

Mi aplicación fue revisada recientemente por un grupo de seguridad "sombrero blanco" contratado por mi empresa. Marcaron este problema e indicaron que debería usar OAUTH, pero también lo mencionaron como un riesgo bajo, lo que significa que no es bueno, pero no lo suficientemente grave como para evitar su lanzamiento.

Recuerda que el "cracker" necesitaría tener acceso físico al dispositivo Y ARRIBA Y CUIDE lo suficiente para encontrar la semilla.

Si realmente le importa la seguridad, no tiene una opción "mantenerme conectado".

Answer 4

La forma más segura de hacer esto sin poner en peligro la seguridad es el uso de las preferencias compartidas para almacenar sólo el nombre de usuario de la última persona que iniciar sesión en.

Asimismo, en la tabla de usuarios, la introducción de una columna que sostiene numérica boolean (1 o 0) para representar si la persona que marcó la persona marcó la casilla "recordarme" o no.

Al iniciar su aplicación, obtenga el nombre de usuario usando la función getSharedPreferences() y utilícela para consultar su base de datos alojada para ver si la columna signedin es 1 o 0, donde 1 indica que la persona marcó la casilla "recordarme".

Answer 5

//encode password 
pass_word_et = (EditText) v.findViewById(R.id.password_et); 
String pwd = pass_word_et.getText().toString(); 
       byte[] data = new byte[0]; 
       try { 
        data = pwd.getBytes("UTF-8"); 
       } catch (UnsupportedEncodingException e) { 
        e.printStackTrace(); 
       } 
       String base64 = Base64.encodeToString(data, Base64.DEFAULT); 
       hbha_pref_helper.saveStringValue("pass_word", base64); 

//decode password 
String base64=hbha_pref_helper.getStringValue("pass_word"); 
      byte[] data = Base64.decode(base64, Base64.DEFAULT); 
      String decrypt_pwd=""; 
      try { 
       decrypt_pwd = new String(data, "UTF-8"); 
      } catch (UnsupportedEncodingException e) { 
       e.printStackTrace(); 
      } 

Answer 6

Usando NDK para el cifrado y el descifrado junto con la definición de la variable Cadena de clave no en lugar de guardarlo en las preferencias compartidas o definirla ins la cadena XML ayudaría a prevenir el robo de clave secreta contra la mayoría de los niños de la escritura. El texto de cifrado resultante se almacenaría en las preferencias compartidas. This link may help about the sample code