android - অ্যান্ড্রয়েড: ব্যবহারকারীর নাম এবং পাসওয়ার্ড সংরক্ষণ করা?




authentication storage (6)

অ্যান্ড্রয়েড-ডেভেলপারদের কাছ থেকে এই পোস্টটি দেখুন, এটি আপনার অ্যান্ড্রয়েড অ্যাপ্লিকেশানে সঞ্চিত ডেটাতে সুরক্ষা বৃদ্ধি করতে সহায়তা করতে পারে।

নিরাপদভাবে ক্রেডেনশিয়াল সংরক্ষণ করার জন্য ক্রিপ্টোগ্রাফি ব্যবহার

যদি আমি অ্যান্ড্রয়েড অ্যাপ্লিকেশনের ভিতরে ব্যবহার করা ব্যবহারকারীর নাম এবং পাসওয়ার্ড সংরক্ষণ করতে চাই, এটি করার সর্বোত্তম উপায় কী? এটি পছন্দসই স্ক্রিনের মাধ্যমে (তবে ব্যবহারকারী কীভাবে এটি মিস করে?), অথবা একটি ডায়লগ বাক্স পপ আপ করুন এবং ব্যবহারকারীকে শংসাপত্রের জন্য জিজ্ঞাসা করুন? যদি তাই হয়, আমি আবেদন জন্য রাষ্ট্র বজায় রাখতে হবে। আমি কিভাবে এটা করব?


আপনি SDK থেকে SampleSyncAdapter নমুনাটি দেখতে পারেন। এটা আপনাকে সাহায্য করতে পারে।



আমি মনে করি আপনার শংসাপত্রটি সুরক্ষিত করার সেরা উপায়টি প্রথমে account.db ফাইলের এনক্রিপশানের সাথে পাসওয়ার্ড সংরক্ষণ করার কথা ভাবুন যা কোনও রুট ডিভাইসগুলিতে সহজে পাওয়া যায় না এবং মূল ডিভাইসের ক্ষেত্রে হ্যাকারকে ডিক্রিপ্ট করার জন্য কী প্রয়োজন এটা।

অন্য বিকল্পটি আপনার সমস্ত প্রমাণীকরণকে Gmail এর মতোই করছে। জিমেইল সার্ভারের সাথে প্রথম প্রমাণীকরণের পরে। আপনি Auth টোকেন পেয়েছেন যা আপনার পাসওয়ার্ডের ক্ষেত্রে ব্যবহার করা হবে। যে টোকেন প্লেইন টেক্সট সংরক্ষণ করা হবে। আপনি যদি সার্ভার থেকে পাসওয়ার্ড পরিবর্তন যদি এই টোকেন মিথ্যা হতে পারে।

শেষ বিকল্পটি আমি আপনাকে 2-ফ্যাক্টর প্রমাণীকরণ সক্ষম করতে এবং আপনার ডিভাইসের জন্য ডিভাইস নির্দিষ্ট পাসওয়ার্ড তৈরি করার সুপারিশ করব। ডিভাইসটি হারানোর পরে, আপনার যে ডিভাইসটির প্রয়োজন তা অক্ষম করা।


নতুন (অ্যান্ড্রয়েড 6.0) ফিঙ্গারপ্রিন্ট হার্ডওয়্যার এবং API এর সাহায্যে আপনি this github নমুনা অ্যাপ্লিকেশান হিসাবে এটি করতে পারেন।


সর্বাধিক অ্যান্ড্রয়েড এবং আইফোনের অ্যাপ্লিকেশনগুলি আমি একটি প্রাথমিক স্ক্রীন বা ডায়লগ বাক্স ব্যবহার করেছি যা শংসাপত্রগুলির জন্য জিজ্ঞাসা করতে। আমার মনে হয় ব্যবহারকারীর নাম / পাসওয়ার্ডটি আবার প্রবেশ করতে হবে তার জন্য এটি গুরুতর বিষয়, তাই সেই তথ্য সংরক্ষণ করা একটি ব্যবহারযোগ্যতার দৃষ্টিকোণ থেকে ইন্দ্রিয়গ্রাহী।

থেকে পরামর্শ ( অ্যান্ড্রয়েড dev গাইড ) হল:

সাধারণভাবে, আমরা ব্যবহারকারীর শংসাপত্রগুলি জিজ্ঞাসা করার ফ্রিকোয়েন্সি কমিয়ে দেওয়ার জন্য সুপারিশ করি - ফিশিং আক্রমণগুলি আরো স্পষ্ট করে তুলতে এবং সফল হওয়ার সম্ভাবনা কম। পরিবর্তে একটি অনুমোদন টোকেন ব্যবহার করুন এবং তা রিফ্রেশ করুন।

যেখানে সম্ভব, ব্যবহারকারীর নাম এবং পাসওয়ার্ড ডিভাইসে সংরক্ষণ করা উচিত নয়। পরিবর্তে, ব্যবহারকারী দ্বারা সরবরাহিত ব্যবহারকারীর নাম এবং পাসওয়ার্ড ব্যবহার করে প্রাথমিক প্রমাণীকরণ সঞ্চালন করুন এবং তারপরে একটি স্বল্পকালীন, পরিষেবা-নির্দিষ্ট অনুমোদন টোকেন ব্যবহার করুন।

AccountManger ব্যবহার করে শংসাপত্র সংরক্ষণের জন্য সর্বোত্তম বিকল্প। SampleSyncAdapter এটি ব্যবহার করার জন্য একটি উদাহরণ সরবরাহ করে।

যদি এটি কোন কারণে আপনার জন্য একটি বিকল্প না হয় তবে আপনি Preferences প্রক্রিয়া ব্যবহার করে Preferences প্রমাণপত্রাদিগুলিতে ফিরে আসতে পারেন। অন্য অ্যাপ্লিকেশনগুলি আপনার পছন্দগুলিতে অ্যাক্সেস করতে পারবে না, তাই ব্যবহারকারীর তথ্য সহজেই উন্মোচিত হয় না।





credentials