Hallo miteinander,
nach einer kurzen Recherche zu den best practices für den Umgang von user credentials bin ich etwas verwundert.
iOS bietet für den Umgang mit schützenswerten Daten die sogenannte Keychain.
Was mich wundert: bei den meisten Samples die Username/Passwort Kombination direkt in die Keychain gespeichert wird. Quelle: https://www.google.com/search?q=ios+dev+password+handling
Der übliche und imho richtige Weg wäre aber der Austausch der Credentials mit einem Token. Dieser wird bei jedem Request mitgeschickt und auch lokal in der Keychain gespeichert. Ist bei Android auch der empfohlene Weg: Punkt "Handling Credentials" http://developer.android.com/training/articles/security-tips.html
Mir ist bewusst, dass die iOS Keychain kryptographisch sicher sein soll.
Mir ist aber nicht wohl dabei, die Emailadresse und das Passwort des Users zu speichern. Im schlimmsten Fall gibt es in der Keychain oder in der App eine Sicherheitslücke - und da man immer wieder davon liest, dass viele dasselbe Passwort für verschiedene Dienste verwenden, möchte ich nicht derjenige sein, dessen App Userdaten veröffentlicht.
Wie handhabt ihr das?
nach einer kurzen Recherche zu den best practices für den Umgang von user credentials bin ich etwas verwundert.
iOS bietet für den Umgang mit schützenswerten Daten die sogenannte Keychain.
Was mich wundert: bei den meisten Samples die Username/Passwort Kombination direkt in die Keychain gespeichert wird. Quelle: https://www.google.com/search?q=ios+dev+password+handling
Der übliche und imho richtige Weg wäre aber der Austausch der Credentials mit einem Token. Dieser wird bei jedem Request mitgeschickt und auch lokal in der Keychain gespeichert. Ist bei Android auch der empfohlene Weg: Punkt "Handling Credentials" http://developer.android.com/training/articles/security-tips.html
Mir ist bewusst, dass die iOS Keychain kryptographisch sicher sein soll.
Mir ist aber nicht wohl dabei, die Emailadresse und das Passwort des Users zu speichern. Im schlimmsten Fall gibt es in der Keychain oder in der App eine Sicherheitslücke - und da man immer wieder davon liest, dass viele dasselbe Passwort für verschiedene Dienste verwenden, möchte ich nicht derjenige sein, dessen App Userdaten veröffentlicht.
Wie handhabt ihr das?
Zuletzt bearbeitet: