Apple 金融应用程序安全指南

Question

我已阅读 Apple 提供的安全编码指南。我正在考虑开发一个金融应用程序。验证用户身份的最佳方法是什么？ Apple 是否针对金融应用程序（与安全相关）提供了任何具体指南？

Answer 1

一般智慧：

不要以纯文本形式存储密码。虽然普通用户无法访问 iPhone 内部的文件，但越狱的 iPhone 具有完全 root 访问权限，能够查看捆绑包内部，并且可以轻松读取名为“userPass.txt”的纯文本文件。相反，使用 iPhone 的钥匙串来存储登录名和密码。

正如刚刚发生的 PayPal iOS 安全错误所证明的那样，在向服务器进行身份验证时，请务必使用安全的 HTTPS 连接。在开放 WiFi 网络上嗅探数据包的人能够利用当前的 iOS PayPal 应用程序并从空中获取凭据。