Sicherer Speicher für Passwort

Hallo erstmal,
ich Frage mich jedes mal wohin mit den Passwörtern.
Habe es immer durch ein pin verschlüsselt in die shared preference gespeichert und der Benutzer musste aber immer den pin eingeben.
Deswegen Frage ich euch wohin damit und zwar soll der Benutzer kein Pin mehr eingeben müssen.
Was ich nicht möchte wäre eine vor programmierte Klasse oder so etwas. Meine apps sollen einzig und allein von mir programmiert werden.
Also habt ihr Vorschläge für mich?
Am besten mit einem Tutorial.
Dankeeeeee

Damit würdet ihr mir sehr helfen ^^

Geht nicht.

Und das verschlüsseln mit PIN bringt auch nix, eine PIN ist ein sehr unsicheres Passwort.


Was machst du da überhaupt, meist ist es garnicht notwendig ein Passwort zu speichern.

cu

Ich programmiere einen clienten für meine Homepage.
Und Passwort speichern ist notwendig, oder gibst du z.B. bei Tapalka immer dein Foren Passwort ein? Oder bei WhatsApp deine ID.
Also irgend wie muss das doch möglich sein

Ja z.B. durch tokens =)

lg. Dagobert

Tokens einfach erklärt...
Nachdem sich der User in der App per Username/Passwort eingeloggt hat, bekommt er vom Server ein (zufällig gewähltes langes) Zweitpasswort (das wird von der App gespeichert).

Dieses funktioniert natürlich nur für Dinge die die App machen muss.

Dinge wie Passwort ändern oder im Web in diese Homepage einloggen geht mit diesem Zweitpasswort natürlich nicht.

Ferner kann sich der Nutzer im Web einloggen und dort irgendwo den Token (dieses Zweitpasswort) löschen. Z.B. dann wenn er sein Handy verloren hat und nicht möchte das jemand mit der App dort auf den Account zugreift.

cu

Da bleibt halt noch die Frage wie es mit dem Key von In-App-Billings ist.. Ist zwar jetzt kein "Passwort", aber von der Fragestellung her identisch.

So und wohin Speicher ich dann den API key? Ist doch jetzt erstmal egal wie das Kind sein Namen trägt ob token, pw oder API key. Irgend wo muss das ding aber hin ^^ und die Frage ist wohin damit?

In den Preferences deiner App.

Du kannst deine App Daten als "nicht backupbar" definieren. Dann kann NUR (abgesehen von vorhandenen Sicherheitslücken und root) deine App die Daten lesen, niemand sonst.

Willst du sie gegen gegen den Zugriff mittels root und Sicherheitslücken absichern musst du sie Verschlüsseln. D.h. der Nutzer muss bei jedem App Start das sichere (PIN ist unsicher) Passwort eingeben damit die App die App Daten entschlüsseln kann.

BTW: Wenn du eine bessere Lösung findest wirst du reich und berühmt ;-)

cu

^^ also doch preference.
Wenn ich sie mit einem Passwort verschlüssle kann ich auch direkt nen Passwort beim jeden starten der APP benutzen statt ben einen API key ^^
Na aber danke, dann bin ich ja doch nicht auf dem alten stand der Androiden ^^

Naja du scheinst immer noch nicht begriffen haben wofür nen token ist^^

lg. Dagobert

wdew schrieb:

^^ also doch preference.

Zum Vergrößern anklicken....

Ja, aber den Token und nicht das Passwort.

wdew schrieb:

Wenn ich sie mit einem Passwort verschlüssle kann ich auch direkt nen Passwort beim jeden starten der APP benutzen statt ben einen API key ^^

Zum Vergrößern anklicken....

Jup, das ist das Problem, geht halt nicht anders wenn es sicher sein soll. Wie gesagt, wenn du das Problem löst wirst du berühmt ;-)

cu

Doch doch xD ich weiß was nen token ist ich Speicher ja auch nur den "token" ab bei mir heißt nur alles Passwort xD oder apikey. Das Passwort an sich habe ich noch nie irgend wo gespeichert ^^ nur auf dem Server und da dann auch nur den hashwert vom Passwort

Und um das Problem zu lösen müsste man wahrscheinlich das Android Betriebssystem umschreiben *grübel* ^^ ne ...... Lieber nicht versuchen ^^
Da gibt es einfachere Methoden berühmt zu werden

Naja ne Idee die mir spontan noch in den Kopf kommt ist der Android Account Manager...