ユーザーがパスワードを入力してアプリを「ロック」できるAndroidアプリを持っているので、パスワードなしでは友達が中を見ることができません。Web サービスなどは使用せず、パスワードはアプリ内のプライベート ファイルに保存されます。問題は、ユーザーが自分のパスワードを忘れてしまい、私にメールして何かしてほしいと頼むことです。今はできません。だから私がやりたいのは、ランダムなパスワードを作成して消費するものを持つことです。ユーザーは私にメールを送信し、アプリが認識できるランダムなキーを渡して、パスワードを変更できるようにします。
超安全なものである必要はありません。どんな助けでも大歓迎です。
いくつかの考え:
何らかの登録プロセスはありますか?その場合、登録時にランダムに 2 番目のパスワードを生成することができます。このパスワードは、ユーザーには伝えませんが、そのような不測の事態に備えてファイルに保管しておきます。または、同様に、ユーザーに「パスワード回復」オプションを提供することもできます。このボタンをクリックすると、バックドア パスワードが生成されます。
デバイスのマシン ID からパスワードを生成し、代替パスワードとして機能するアルゴリズムを使用できます。アプリのコピーが何百万もある大規模な組織である場合、またはアプリ内の情報が極秘である場合、遅かれ早かれハッカーがアルゴリズムを見つけ出し、破ることができるため、これは非常に悪い考えです。彼らが望むどんなマシンにも。しかし、あなたが小さな標的であれば、それを解読するのに十分な努力をする人はおそらくいないでしょう。
ユーザーについて何か知っている必要がありますか? クレジットカード番号や住所などからパスワードを生成できますか? もちろん、これにより、潜在的なターゲットに関するあらゆる情報を発見できるハッカーに対して脆弱になります.
このようなことを行うと、大きな潜在的なセキュリティ ホールが作成される可能性があります。誰かが他人のデバイスを盗み、メールでパスワードを紛失したと伝えたらどうなるでしょうか。それがデータの正当な所有者であることをどうやって知ることができますか? 誰かが電話または電子メールで、パスワードを紛失した、裏口に入らせてください、と言うことができれば、もうセキュリティはありません.
アプリケーションに「バックドア」を実装するのは良い考えではないと思います。これは非常に悪い味を生み出します。
私が正しく理解していれば、アプリケーションを「ロック解除」したいのですが、これを行っているユーザーが何らかの方法で承認されているかどうかはわかりません。私がデバイスを盗み、あなたに電子メールを送信すると、あなたは私がデータを見ることができるように気をつけます。悪いですね...
私が知っているすべての(良い)金庫は、ユーザーが鍵を管理することに依存しています。彼らは安全を望み、責任があります。
編集
「秘密の質問」を入力できます。
「自律的な」パスワードリセットのために構築しようとした他のものは、セキュリティ上の問題を引き起こします(認証/承認の仕組みは何ですか)
編集
どこまで行きたいですか?何か (SMS やメール アカウントなど) を持っていることを保証することで、問題が軽減され、ある程度のセキュリティの印象を与えることができます。したがって、「ロック解除」というキーワードを使用して、PREDEFINED (アプリケーション設定) アカウントからの SMS またはメールを傍受できます。設定されていない場合、この機能は無効になります。SMS 傍受はそれほど難しくないはずです。
アプリ自体にパスワードのリセット機能を構築してみませんか? Web サービスを使用していない場合、なぜあなたやあなたのサーバーが関与する必要があるのでしょうか?
たとえば、セキュリティ パスワードを覚えていない場合、サーバーはパスワードの md5 ハッシュを保存して、モバイル デバイスをサーバー上のレコードと照合し、アプリをリセットするためのキーを送信できるようにすることができます。