12/02/26 12:20:41.37
パスワード管理ソフトを自作しようとしています。
下記の仕様で作ろうと思いますが、
セキュリティ観点でどの程度問題ありでしょうか。
なお、自分用の開発であり
マーケットへの登録は全く考えていません。
(1.)の仕様は、そのためです。
1.アプリ実行時、onResume時などには、
パスワード入力をさせる
※照合用の文字列は、ソースコード内にハードコーディング
もしくは、String.xmlに登録して、ソース内で呼び出し
(ビルド後はどちらでもセキュリティ的には同じかも)
2.アプリ内ユーザー操作で、IDとPASSの組を登録していく。
登録したものは、SDカードにファイル保存する。
3.ファイル保存するものは、アプリ内で入力されたString文字列を
適当に暗号化する
4.暗号化/復号する鍵は、ソースコード内にハードコーディング
apkファイルのリバースエンジニアリングが容易ということは
ググってわかりましたが、ハードコーディングした文字列(鍵)が
そのまま出てくるのかどうかなどは分かりませんでした。
JNI等を使ってC++やCのコードを呼び出せる、という情報も得ましたが、
この手段を使った方が、まだ安心できるものになりますでしょうか?
スマホを紛失した時のことを想定しています。