我正在努力了解在Android应用程序中保护PIN码/锁定屏幕的细节。(例如:https://github.com/thealeksandr/PFLockScreen-Android)以银行应用程序为例,他们通常会要求输入PIN码以重新登录您的帐户。我的问题是,假设完全在本地处理,或者这是不可能的,如何确保PIN码检查的安全。
我的想法是,PIN码可以很容易地存储在Android密钥库中,但PIN功能本身是否仍然容易受到Frida等工具的暴力攻击。即使进行了反暴力检查,弗里达也不能勾选这个并更改计数器/只是一遍又一遍地重新打开应用程序吗?
我知道这方面的威胁模型非常有限,然而,它让我思考了一段时间,因为如果不使用某种形式的服务器端验证,我看不到任何保护它的方法。
将其作为单向散列(例如SHA256(本地存储。登录后,您计算他们键入的内容的哈希值,并将其与存储的哈希值进行比较。