使用android安全KeyChain

Question

例如，我需要保存重要数据(密码、令牌等)。在设备上。加密或未加密的数据。我是否需要android.security KeyChain来实现安全的数据存储？如果设备的用户将其设备设为root，那么数据密钥链是否是不可破坏的？对数据安全性的建议是什么？

Answer 1

这是一个非常宽泛的问题。也许已经有一个社区维基已经有了答案。无论如何，这里有一些与Android中的安全存储相关的资源，它们应该是有帮助的：

http://developer.android.com/training/articles/security-tips.html

• Credential和安卓培训：http://nelenkov.blogspot.jp/2012/05/storing-application-secrets-in-androids.html和http://nelenkov.blogspot.no/2013/08/credential-storage-enhancements-android-43.html存储应用编程接口

​

• 您可以使用帐户的帐户管理器并向其添加功能和属性以保留自定义数据：

- [http://developer.android.com/training/sync-adapters/creating-authenticator.html](http://developer.android.com/training/sync-adapters/creating-authenticator.html)
- [http://developer.android.com/reference/android/accounts/AccountManager.html](http://developer.android.com/reference/android/accounts/AccountManager.html)
- [https://github.com/android/platform\_development/tree/master/samples/SampleSyncAdapter](https://github.com/android/platform_development/tree/master/samples/SampleSyncAdapter)
- [http://nelenkov.blogspot.no/2012/11/sso-using-account-manager.html](http://nelenkov.blogspot.no/2012/11/sso-using-account-manager.html)
- [http://udinic.wordpress.com/2013/04/24/write-your-own-android-authenticator/](http://udinic.wordpress.com/2013/04/24/write-your-own-android-authenticator/)
- [https://groups.google.com/forum/#!topic/android-developers/Vubkbfqimm8](https://groups.google.com/forum/#!topic/android-developers/Vubkbfqimm8)

​

总的来说，你应该看看Nikolay Elenkov的博客，里面有很多关于

• 和安全的好文章：http://nelenkov.blogspot.no/

Answer 2

虽然这个问题太宽泛了，但我想说出我的2点看法。

您希望保存在Android设备中的任何具有个人身份信息(PII)的内容都应进行加密，否则它很容易被任何人嗅探、拦截或读取。最佳实践是始终加密敏感数据。

安卓KeyChain可以用于安全的数据存储。您可以阅读有关Android安全性的更多信息，以及他们关于最新Android API和最新最佳实践的文档。然而，在我的移动安全经验中，任何扎根的Android设备都容易受到不同类型的攻击。除非你知道你在做什么，否则最好不要启动你的设备。