我的程序让用户创建一个密码,用于访问程序的数据。创建过程中程序流程如下:
- 要求用户输入密码
- 要求用户重新输入密码
- 如果密码匹配继续,否则转到第 1 步并重新开始该过程
为了比较两个输入的密码,我将密码临时存储到一个实例变量中。这可能是一个潜在的安全漏洞吗?如果是这样,为什么这是一个问题,您的解决方案是什么?也许存储它的哈希版本?谢谢!
最佳答案
我认为你可以处理(将密码存储在 iVar 中)。
也许您需要为自己定义“安全漏洞”。当然,攻击者可能会从被盗的 iPhone 中读取存储的内存并重建密码。 但这些数据是否合理?
您可以通过用空字节(与输入的密码长度相同)覆盖您的内存来提高您的安全概念,删除内存中所有对明文密码的引用,并只保留输入密码的 SHA256。 还要确保在收到 UIApplicationDidEnterBackgroundNotification 时进行空字节覆盖和删除。
但我认为这样做不值得。
关于objective-c - 将敏感数据临时存储在 iVar 中是否会构成安全威胁?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/10093916/