現在、当社向けに追跡アプリを開発中です。このアプリをより安全にするために、最初の起動時にユーザーにセキュリティコードを要求したいと思います。このセキュリティコードは、ほとんどの場合、顧客番号になります。
ユーザーがトレースコードとトレースコードを使用してサーバーにリクエストを送信すると、サーバーはセキュリティコードとトラックコードとトレースコードがリンクされているかどうかを確認します。
私の質問は、アプリにセキュリティコードを保存して、アプリがトラックとトレースをサーバーに送信するように要求できるようにするための最良の方法は何でしょうか。ユーザーは最初の起動時にのみセキュリティコードを入力する必要があります。
[[NSUserDefaults standardUserDefaults] boolForKey:@"security code"];
これはオプションでしょうか?
デバイスに保存したい安全なデータについては、キーチェーンを使用することを強くお勧めします。次に、キーチェーン内にコードが存在するかどうかを確認し、利用可能な場合はそれを使用できます。
以下のドキュメントを参照して、キーチェーンを使用してください。
user1805901> This security code will most likely be the customer number.
それはどのくらい推測できますか?紛失した場合に備えて、UUIDを調べることをお勧めします。サーバーでUUIDから顧客番号へのマッピングを提供します。
WDUK> For any secure data you wish to store on the device, I strongly advise you use the Keychain.
キーチェーンに加えて、、、、、、、、およびも確認する必要がkSecAttrAccessibleWhenUnlockedあります。kSecAttrAccessibleAfterFirstUnlockkSecAttrAccessibleAlwayskSecAttrAccessibleWhenUnlockedThisDeviceOnlykSecAttrAccessibleAfterFirstUnlockThisDeviceOnlykSecAttrAccessibleAlwaysThisDeviceOnly
kSecAttrAccessibleAlwaysとkSecAttrAccessibleAlwaysThisDeviceOnlyは毒であり、キーチェーンがデータをリークする可能性があるため、使用しないでください。詳細については、 iOSキーチェーンの弱点を参照してください(改善されましたが、それでも問題になる可能性があります)。
*ThisDeviceOnlyシークレットが別のデバイスへの復元に含まれていないことを意味します。一部のコピー/貼り付け攻撃に役立ちます。
また、クラウドでシークレットが必要ない場合は、キーチェーン属性にを含める必要があると思いますcom.apple.MobileBackup。詳細については、テクニカルQ&AQA1719を参照してください。
ジェフ