ios - swift 安全地保存敏感数据

Question

我正在制作一个应用程序，我需要在其中保存一个 [Card] 类型的数组，其中 card 是结构:

struct Card : {
    var image : UIImage? = nil
    var name : String = ""
    var titles : [String] = []
    var data : [String] = []
}

考虑到该数组包含信用卡号等数据，最好的持久化方法是什么？

在 XCode 的 Capabilities 选项卡下启用 Data Protection 就足够了吗？目前我正在使用 Codable 进行储蓄。

Answer 1

这个问题没有正确答案，但这是了解一个人对 iOS 安全性深入研究的好方法。如果你正在面试一家银行，我几乎肯定希望有人对此有所了解，但所有公司都需要认真对待安全问题，因此以下是我希望在回答中听到的理想主题列表:

• 如果数据极其敏感，则绝不应将其离线存储在设备上，因为所有设备都是可破解的。
• 钥匙串(keychain)是安全存储数据的一种选择。然而，它的加密是基于设备的密码。用户不会被迫设置密码，因此在某些情况下，数据甚至可能不会被加密。此外，用户密码可能很容易被破解。
• 更好的解决方案是使用像 SQLCipher 这样的东西，它是一个完全加密的 SQLite 数据库。加密 key 可以由应用程序强制执行，并与用户的 pin 代码分开。其他安全最佳做法是:
• 仅通过 SSL/HTTPS 与远程服务器通信。
• 如果可能，在应用程序中实现证书锁定以防止对公共(public) WiFi 的中间人攻击。
• 通过覆盖清除内存中的敏感数据。
• 确保提交数据的所有验证也在服务器端运行。