Как правильно хранить логины и пароли в Android приложении?

Question

[Copperfield]

Имеется клиент-серверное приложение.
Как защитить логины, пароли, токены и т.д в приложении от желающих его декомпилировать?

Answer 1

[Push Pull]

Пароль никогда не хранить, но если он шифруется мастер паролем который нигде не записывается, то можно (тут от приложения зависит).
В остальных 99% случаев пароли (шифрованные, хэшированные) хранятся только на серверах,
логин и токен храните, без паролей доступа не будет.
В идеале конечно только токен хранить, но все хотят сделать пользователю жизнь удобнее заранее вводя за него логин.

Comments

[Copperfield]

Я, кажется, не совсем точно описал свою проблему. Мне нужно хранить пароли не пользователей, а пароли доступа к API, базам и т.д. Как с ними быть?

[Push Pull]

@Copperfield а надо ли? если ваше приложения подключается к базам, фтп, как например IDE и хранят данные для удобства тут поможет только мастер пароль, иначе их всегда можно получить. если же нет, чтож может еще можно сделать так чтобы данные пользователя были на сервере? и выдавать их по API т.е. хранить только в переменных.

[Артем Воронов]

А зачем хранить логин, если есть токен? Если уж очень нужно для каких-то операций применять его, то его всегда можно получить на стороне бэкэнда по токену.

[anyd3v]

@newross обьясню кейс из разрабатываемого приложения: когда пользователь разлогинивается то при следующем логине в поле логина ему ставится его логин и ему остается ввести только пароль.

Answer 2

[Артем Воронов]

Лучшая защита - это ничего не хранить на клиенте, кроме токена для доступа к своему сервису. Никогда не работать напрямую с базой из клиента, да и к сторонним закрытым API лучше обращаться через свой сервис. Только так можно гарантировать, что злоумышленник ничего не найдет.