แอพ Android และ iPhone ส่วนใหญ่ที่ฉันเคยเห็นใช้หน้าจอเริ่มต้นหรือกล่องโต้ตอบเพื่อขอข้อมูลประจำตัว ฉันคิดว่าเป็นเรื่องยุ่งยากที่ผู้ใช้จะต้องป้อนชื่อ / รหัสผ่านซ้ำบ่อยครั้งดังนั้นการจัดเก็บข้อมูลที่เหมาะสมจากมุมมองการใช้งาน
คำแนะนำจาก ( คู่มือ dev ของ Android ) คือ:
โดยทั่วไปเราขอแนะนำให้ลดความถี่ในการขอข้อมูลรับรองผู้ใช้ - เพื่อให้การโจมตีแบบฟิชชิงมีความชัดเจนมากขึ้นและมีโอกาสประสบความสำเร็จน้อยลง ใช้โทเค็นการอนุญาตและรีเฟรชแทน
หากเป็นไปได้ไม่ควรจัดเก็บชื่อผู้ใช้และรหัสผ่านในอุปกรณ์ ให้ดำเนินการพิสูจน์ตัวตนครั้งแรกโดยใช้ชื่อผู้ใช้และรหัสผ่านที่ผู้ใช้จัดหาจากนั้นใช้โทเค็นการอนุญาตเฉพาะช่วงสั้น ๆ
การใช้AccountMangerเป็นตัวเลือกที่ดีที่สุดสำหรับการจัดเก็บข้อมูลรับรอง SampleSyncAdapterให้เห็นตัวอย่างของวิธีการใช้มัน
หากนี่ไม่ใช่ตัวเลือกสำหรับคุณด้วยเหตุผลบางประการคุณสามารถถอยกลับไปยังหนังสือรับรองที่ยังคงอยู่โดยใช้กลไกการตั้งค่า แอปพลิเคชันอื่น ๆ จะไม่สามารถเข้าถึงการตั้งค่าของคุณดังนั้นข้อมูลของผู้ใช้จะไม่ถูกเปิดเผยได้อย่างง่ายดาย