¿Es completamente seguro almacenar las credenciales sin cifrar dentro de una variable en el dispositivo iOS?

2

La descripción general es que ciframos las credenciales usando el código PIN como la frase de contraseña que el usuario también establece. Uno de los requisitos es NUNCA GUARDAR EL CÓDIGO PIN en cualquier momento y en cualquier lugar.

Cada vez que el usuario sale de la aplicación o sale de la aplicación, se mostrará una pantalla de bloqueo cuando el usuario vuelva a ejecutar la aplicación que solicita el código PIN del usuario. La aplicación luego intentará descifrar la credencial usando el código pin que el usuario ingresó.

Ahora, si el descifrado es exitoso, colocamos la credencial en una variable en nuestro singleton porque necesitamos la credencial para varias cosas como la regeneración de sesión con el servidor y como frase de contraseña para cifrar los archivos descargados.

Me gustaría preguntar si es seguro hacerlo, ya que según mi investigación, así es como lo hacen los desarrolladores web, pero los sitios web tienen servidores que están protegidos dentro de una empresa, a diferencia de un dispositivo iOS en el que cualquiera puede tener acceso. .

    
pregunta Bryan P 05.02.2016 - 13:00
fuente

1 respuesta

1

¿Estás defendiendo contra un atacante con acceso completo al dispositivo? Si es así, una credencial cifrada con un código PIN (que implica que consta de solo 4 o 6 dígitos) es muy fácil de descifrar: un máximo de solo 10,000 o 1,000,000 intentos y usted está allí.

Recomendaría verificar el PIN que el usuario ingresó en el servidor para la autenticación y limitar (en el lado del servidor) la cantidad de intentos que el usuario tiene permitido.

    
respondido por el Mark Koek 06.02.2016 - 01:12
fuente

Lea otras preguntas en las etiquetas