1

機密情報を保存し、iCloud を使用してデバイス間で Core Data を同期する iOS アプリがあります (データ自体は Core Data 内で暗号化されます)。

人々はアプリをパスワードで保護でき、失われたパスワードを回復するのに役立つ 2 つの秘密の質問を作成することもできます。

パスワードと秘密の質問はキーチェーンに保持されます。

「ねえ、パスワードを忘れたし、秘密の質問への答えも忘れてしまったので、貴重なデータにアクセスできません。助けてください」というサポート リクエストを頻繁に受け取ります。

アプリを削除して再インストールしようとしたと言う人もいます (データが iCloud から再同期されることを知っています)。

現在、私がこれらの人々を助ける方法はありません。

ここで質問です。

一方で、最初の起動時にキーチェーンからパスワードと秘密の質問をクリアするのは非常に簡単です。これにより、アプリを削除して再インストールした場合に新しいものを作成できます。

ただし、これはセキュリティ ホールを作成するようです。許可されていない人物がデバイスを入手すると、アプリを削除して再インストールし、新しいパスワードを作成し、アプリを iCloud と同期させ、機密データにアクセスすることができます。

他人のデータを盗もうとする人よりも、パスワードを忘れてしまう罪のない人の方がはるかに多いと思いますが、それでも「簡単な方法」に行くのは気が進まない.

どう思いますか?

4

1 に答える 1

1

簡単な回答: おそらく影響を受ける少数の人々のために、ここに 1 つのアイデアがあります: まず、「ローカル バックアップを暗号化する」のチェックを外して (これによりキーチェーンが除外されます)、iTunes にバックアップしてみてください。次に、その iTunes バックアップからデバイスをワイプして復元します。これにより、アプリとそのデータがデバイスに戻されますが、キーチェーンは削除されます私はまだ試していないので、このソリューションについてユーザーに連絡する前にテストしてください。関連する手順については、http ://support.apple.com/kb/TS4108 を参照してください。

長い考え: 初回実行時にユーザー キーチェーン データを削除することは、ユーザーの期待に反すると思います。Apple は、ユーザーがデータを失わないように、アプリのアンインストール後もキーチェーンを維持します。セキュリティ ホールの問題は、Apple がユーザーに提供する保護 (パスワード ロック、データ ワイプ) と、開発者が実装できるセキュリティ機能 (キーチェーン、ファイル暗号化) によって実際にカバーされます。あなたはこれに対処します。

残念ながら、これらすべてに関係なく、現在のユーザーのままです。Apple は、キーチェーンが特定のアカウントにロックされるように、OS X の場合と同様にデバイス レベルのユーザー アカウントを提供する必要があります。しかし、現実の世界に戻ると、パスワード リセット用の電子メールを提供するために、時代遅れの電子メール アドレスにユーザー登録を要求することにはまだ行き詰まっています。ただし、ユーザー アカウントはローカルに保存されているようです。

于 2012-11-07T00:50:00.940 に答える