Wie kann ich ein Pseudozufallskennwort erstellen und verwenden?

Question

Ich habe eine Android-App, die ich den Nutzern erlauben, ein Passwort zu haben und die App "sperren", so dass ihre Freunde nicht ohne ihr Passwort nach innen schauen können. Es verwendet keinen Web-Service oder irgendetwas und das Passwort wird in einer privaten Datei in der App gespeichert. Das Problem ist, dass die Nutzer ihr Passwort gerne vergessen und mich dann per E-Mail bitten, etwas dagegen zu unternehmen. Im Moment kann ich nicht. Also, was ich tun möchte, ist etwas, das erstellt, und verbraucht ein zufälliges Passwort. Der Benutzer könnte mir eine E-Mail senden und ich könnte ihm einen zufälligen Schlüssel geben, den die App erkennen könnte, und sie hereinlassen, damit sie ihr Passwort ändern können.

Es muss nichts super sicher sein. Jede Hilfe wird geschätzt.

Answer 1

Ich denke nicht, dass es eine gute Idee ist, eine "Hintertür" in Ihrer Anwendung zu implementieren. Dies schafft einen sehr schlechten Geschmack.

Wenn ich richtig verstanden habe, möchten Sie die Anwendung "entsperren", nicht wissen, ob der Benutzer dies in irgendeiner Weise autorisiert ist. Ich stiehl ein Gerät, sende Ihnen eine E-Mail und Sie passen auf, dass ich die Daten sehen kann. Klingt schlecht ...

Alle (guten) Safes, die ich kenne, verlassen sich auf den Benutzer, der sich um ihre Schlüssel kümmert. Sie wollen Sicherheit und sie sind verantwortlich.

EDIT

Sie eine "Sicherheitsfrage" zur Verfügung stellen kann.

Alles andere habe ich versucht, für eine „autonome“ Zurücksetzen des Kennworts zu konstruieren wirft Sicherheitsfragen trennen (was die Authentifizierung/Autorisierung Mechanik)

EDIT

Wie weit sind Sie bereit zu gehen? Den Besitz von etwas zu sichern (wie eine SMS oder ein Mail-Konto) kann die Probleme reduzieren und einen Eindruck von Sicherheit geben. So können Sie SMS oder E-Mails von einem PREDEFINED-Konto (Anwendungseinstellungen) abfangen, z. B. mit dem Schlüsselwort "Entsperren". Wenn nicht festgelegt, ist diese Funktion deaktiviert. SMS-Abhören sollte nicht so schwer sein.

Answer 2

Warum erstellen Sie nicht nur die Funktion zum Zurücksetzen des Passworts in der App selbst? Wenn Sie keinen Webdienst verwenden, warum müssen Sie oder Ihr Server überhaupt beteiligt sein? Wenn sie sich beispielsweise nicht an ihre Sicherheitskennwörter erinnern, könnte Ihr Server einen MD5-Hash ihres Passworts speichern, um ihr mobiles Gerät mit ihrem Eintrag auf dem Server abzugleichen, damit Sie ihnen einen Schlüssel zum Zurücksetzen der App senden können .

Answer 3

Paar Gedanken:

Gibt es irgendeine Art von Registrierung? Wenn dies der Fall ist, könnten Sie bei der Registrierung zufällig ein zweites Passwort generieren, das Sie dem Benutzer nicht mitteilen, sondern nur für solche Fälle auf dem Laufenden halten. Oder Sie können Benutzern eine "Passwortwiederherstellung" -Option anbieten - klicken Sie auf diese Schaltfläche, um ein Backdoor-Passwort zu generieren.

Sie könnten über einen Algorithmus verfügen, der ein Kennwort von der Geräte-ID des Geräts generiert und als alternatives Kennwort fungiert. Wenn Sie eine große Organisation mit Millionen von Kopien Ihrer App waren, oder wenn die Informationen in Ihrer App super geheim waren, wäre das eine sehr schlechte Idee, da Hacker früher oder später den Algorithmus herausfinden würden und dann könnten sie brechen in irgendeine Maschine, die sie wollten. Aber wenn Sie ein kleines Ziel sind, wird wahrscheinlich niemand hart genug arbeiten, um es zu knacken.

Wissen Sie unbedingt etwas über Ihre Benutzer? Wie könnten Sie ein Passwort von Ihrer Kreditkartennummer oder ihrer Adresse oder Ähnlichem generieren?Das macht Sie natürlich anfällig für jeden Hacker, der Informationen über ein mögliches Ziel finden könnte.

Bei so etwas werden Sie ein großes potenzielles Sicherheitsloch schaffen: Was passiert, wenn jemand das Gerät eines anderen stiehlt, Ihnen dann eine E-Mail schickt und sagt, dass er sein Passwort verloren hat? Woher weißt du, dass es der rechtmäßige Besitzer der Daten ist? Wenn jemand anrufen oder mailen und sagen kann, Hey, ich habe mein Passwort verloren, bitte lass mich in die Hintertür, dann hast du keine Sicherheit mehr.