यदि आप अपने आवेदन को अधिक विस्तार से समझाते हैं, तो मुझे लगता है कि मैं यहां आधार से बाहर हूं, लेकिन अभी के लिए मैं आपके उपयोग के मामले और खतरे के मॉडल के बारे में कुछ धारणाएं करूंगा।
मेरी समझ यह है कि आपके पास कुछ संवेदनशील जानकारी है जिसे आप मोबाइल डिवाइस के बीच अंतःक्रियात्मक कनेक्टिविटी और कुछ दूरस्थ सेवा के साथ सिंक्रनाइज़ करना चाहते हैं। यह सेवा केवल प्रमाणित उपयोगकर्ताओं के लिए सुलभ है, और उपयोगकर्ताओं को जानकारी की प्रतिलिपि तक पहुंचने के लिए मोबाइल डिवाइस पर प्रमाणित करना होगा, भले ही यह ऑफ़लाइन हो।
यदि आप मजबूत सुरक्षा चाहते हैं, तो पासवर्ड-आधारित एन्क्रिप्शन का उपयोग करके मोबाइल डिवाइस की प्रति एन्क्रिप्ट करें।
आप सेवा के प्रमाणीकरण के लिए उपयोग किए गए एक ही पासवर्ड का उपयोग कर सकते हैं, लेकिन सामान्य रूप से, मैं अलग-अलग उद्देश्यों के लिए एक ही कुंजी का पुन: उपयोग करने से बचूंगा। एक बेहतर तरीका मोबाइल डिवाइस के लिए एक मास्टर एन्क्रिप्शन पासवर्ड होना होगा, जो मोबाइल डेटाबेस के साथ-साथ "पासवर्ड" को सिंक्रनाइज़ेशन सेवा में उपयोगकर्ता को प्रमाणित करने के लिए उपयोग किया जाता है। ध्यान दें कि सेवा प्रमाणीकरण पासवर्ड वास्तव में SSL क्लाइंट-प्रमाणपत्र प्रमाणीकरण, या एक वर्ण-आधारित पासवर्ड के लिए एक निजी कुंजी हो सकता है।
आपको केवल एक पासवर्ड रखने का जोखिम मूल्यांकन करना होगा, लेकिन कई मामलों में, मुझे लगता है कि यह सुविधा उपयोगकर्ता को प्रदान करती है, जो कि एक मजबूत मास्टर पासवर्ड द्वारा प्रदान की गई सुरक्षा के साथ संयुक्त है, लेकिन दो कमजोर- आसानी से याद किए गए पासवर्ड एक अच्छी शेष राशि है।
ध्यान दें कि यह दृष्टिकोण उस उपयोगकर्ता को अनुमति देगा जिसकी सेवा पहुंच को स्थानीय प्रतिलिपि तक पहुंचने के लिए निरस्त कर दिया गया है, लेकिन बिना किसी नए अपडेट के। आप मोबाइल सॉफ़्टवेयर द्वारा लागू होने वाली समय सीमा की कुछ धारणा शामिल कर सकते हैं, लेकिन एक निर्धारित हमलावर इसे बाधित कर सकता है।
यदि आपको खिलौना सुरक्षा की आवश्यकता है, तो मोबाइल डिवाइस पर सही हैश को संग्रहीत करने का आपका सुझाव पर्याप्त है, और इससे कोई फर्क नहीं पड़ता कि आपके पास असली पासवर्ड है या वैकल्पिक है, क्योंकि यदि आप सही हैश का उपयोग करते हैं, पासवर्ड टकराव खोजने के लिए उन्हें कुछ अरब साल लगाना चाहिए जो उन्हें दूरस्थ सेवा तक पहुंचने की अनुमति देगा।
हालांकि, मानते हैं कि एक हमलावर पासवर्ड हैश देख सकता है, जो उन्हें सिंक किए गए डेटा को देखने से रोक रहा है? उन्हें पासवर्ड पुनर्प्राप्त करने की आवश्यकता क्यों होगी? मोबाइल डेटाबेस एन्क्रिप्ट करना इसे रोक देगा।
क्या आप स्थायी ऑफलाइन पहुंच के बारे में बात कर रहे हैं, या किसी ऐसे व्यक्ति को फिर से प्रमाणित कर रहे हैं जो अब ऑनलाइन है, अब वे नहीं हैं? – Whisk
अंतिम लक्ष्य क्लाइंट के बाद सर्वर से कनेक्ट होना और इसके डेटा/अपडेट सिंक करना है। – pc1oad1etter
भ्रम के लिए खेद है। मेरा मतलब सभी उपयोगकर्ताओं द्वारा साझा किया गया "मास्टर" पासवर्ड नहीं था, मेरा मतलब एक पासवर्ड था जो उपयोगकर्ता के मोबाइल डेटाबेस और उपयोगकर्ता की सेवा प्रमाणीकरण प्रमाण-पत्रों की सुरक्षा करता है। यह उपयोगकर्ताओं को ऑफ़लाइन और ऑनलाइन प्रभावी ढंग से प्रमाणित करता है। – erickson