钥匙串密码陷阱

Question

在钥匙串中存储用户密码时是否有任何已知的陷阱需要避免？我计划让用户能够需要密码才能访问我的 iPad 应用程序。我可以对钥匙串进行基本的读写操作。我只是想确保我不会让他们陷入这样的情况：他们因为自己的过错而将自己锁在门外。例如：

• 键盘是否允许他们输入无法保存或从钥匙串读取的特殊字符？
• 字符串长度是否有限制？

感谢您分享的任何见解。

Answer 1

保存密码。读回来。确保它有效。如果没有，请告诉用户失败并让他们输入不同的密码。

并非所有键盘都可以输入所有字符。 3.1.2 左右的手机锁键盘（不确定他们是否已修复）有一个错误，它将限制您使用“支持 ASCII 的”键盘（例如，不是希伯来语），但不限制可能的字符进入；启用某些键盘会添加额外的重音符号，并且某些键盘具有额外的符号。然后，您可以禁用某些键盘，锁定手机，并且完全无法解锁它。 （我在测试之前做了备份。）

在您的情况下，您不会阻止用户使用键盘，因此这不是什么问题。

请注意，您的处理方向是错误的：密码解锁内容。您正在努力确保内容的安全。您不需要在任何地方保存密码（您可以仅使用它来加密内容）。

文件在（未加密）备份中也将显示为未加密。在 3.1.2 中，您可以备份密码锁定的手机（不确定他们是否在 3.2 中修复了此问题）；这意味着在没有备份密码的设备上，您可以通过将其连接到笔记本电脑并按“备份”来窃取所有内容。

自己有效地实施加密超出了本答案的范围。

Answer 2

关于字符串长度：

iOS 钥匙串上的最大可存储字符串长度和字符串的最大可能长度没有区别。然而，人类可能不会生成那么长的字符串，更不用说记住它了。

值得一提的是，存储到钥匙串的大值会对性能造成影响，因为必须对其进行加密/解密才能写入和读取。

相关文章：

解码一个巨大的 NSString，内存不足

NSString stringWithFormat 很慢