1. घर
  2. सवाल और जवाब
  3. आईओएस कीचेन

आईओएस कीचेन

2015-03-04 13 views
8

छोड़कर पिन की जांच करें मेरे पास आईओएस कीचेन में एक उपयोगकर्ता पिन संग्रहीत है। प्रत्येक पिन प्रयास के लिए, मैं संदर्भ पिन पुनर्प्राप्त करने के लिए SecItemCopyMatching का उपयोग करता हूं, और फिर तुलना करता हूं।आईओएस कीचेन

समस्या यह है कि, थोड़े समय के लिए, पुनर्प्राप्त संदर्भ पिन ऐप की वर्किंग मेमोरी में प्रवेश करता है। अगर फोन से समझौता किया गया है, तो संदर्भ पिन संभावित रूप से पढ़ा जा सकता है।

क्या चाइंच के पिन प्रयास को पास करने का कोई तरीका है और क्या Keychain संदर्भ पिन के साथ अपने सुरक्षित वातावरण में तुलना करता है? (क्या सुरक्षित तत्व उस तरह की चीजें कर सकता है?)

स्रोत

2015-03-04 Randomblue

उत्तर

2

मुझे लगता है कि यह आपको अंतिम उत्तर तक पहुंचने में मदद कर सकता है क्योंकि 1 पासवर्ड एक ही समस्या का सामना कर रहा है।

https://guides.agilebits.com/kb/security/en/topic/touch-id-pin-code-and-ios-keychain

लेकिन मैं क्या पढ़ा के आधार पर, आप क्या हासिल करना चाहते हैं अब के लिए संभव नहीं है। निकटतम जानकारी मैं मिल सकता था यह एक:

What is the correct way to clear sensitive data from memory in iOS?

और यह एक:

Sensitive Data In Memory

आप कहाँ पढ़ सकते हैं: अपने विरोधी की क्षमता है

हैं अपने लक्ष्य मशीन पर मनमानी कोड चलाने के लिए (एक प्रोसेस को डंप करने के लिए आवश्यक डीबग विशेषाधिकारों के साथ एस छवि), आप सभी प्रकार के खराब हैं।

तो मेरा जवाब है: नहीं, आप आईओएस कीचेन छोड़ दिए बिना पिन की जांच नहीं कर सकते हैं।

स्रोत

2015-04-07 11:04:48 Mikael

2

नहीं, यह आपके द्वारा प्रस्तावित तरीके से नहीं किया जा सकता है। कीचेन एक स्टोरेज

है लेकिन क्या यह वास्तव में एक समस्या है यदि आइटम अस्थिर स्मृति में है?
मेरा मतलब है .. यदि कीचेन खुला है तो यह पहले से ही स्मृति में है (कम से कम चेक होने पर)

स्रोत

2015-03-04 16:52:58

6

सामान्य रूप से, आप नमक के साथ पासवर्ड का एक तरफा हैश स्टोर करते हैं, वास्तविक नहीं पारण शब्द। सत्यापित करने के लिए, नमक जोड़ें, स्ट्रिंग हैश, संग्रहीत हैश के खिलाफ तुलना करें, और यदि यह मेल खाता है, तो यह सत्यापित है।

तब ताकत, एल्गोरिदम, नमक और पासवर्ड की ताकत है।

स्रोत

2015-03-04 20:38:50

+0

समस्या यह 4-अंकों का पिन है, इसलिए हैश आसानी से क्रूर-बलवान हैं। – Randomblue

+2

बहुत सच है। अजीब बात है कि आप पिन को एक पासवर्ड कहते हैं। फिर भी, यह कुछ भी नहीं है। ऐसा लगता है कि एक [x-y समस्या] (http://meta.stackexchange.com/questions/66377/what-is-the-xy-problem) की तरह लगता है। –

+0

इसके बारे में क्षमा करें! समस्या अब ठीक कहा गया है। – Randomblue

3

आपके पास हैश पिन के नाम से एक आइटम हो सकता है, तो आप जांच सकते हैं कि आइटम मौजूद है या नहीं, जब उपयोगकर्ता इसे पिन करने के बाद पिन में प्रवेश करता है।

जब पिन बदलता है तो आपको आइटम को चाबी से साफ़ करने की आवश्यकता हो सकती है।

स्रोत

2015-03-24 18:45:15 alpere

संबंधित मुद्दे

 संबंधित मुद्दे