Должны ли зашифрованы токены для таких сервисов, как Twitter и Facebook? В частности, следует ли хранить токены на устройстве Keychain vs. UserDefaults? Каковы возможные проблемы безопасности, которые могут возникнуть, если пользовательское устройство украдено/принято
Это то, что я придумал до сих пор.
Плюсы брелка: Зашифрованные
Против: Невозможно очистить приложение при удалении приложения.
Плюсы UserDefaults: Удерживается в приложении.
Против: Нет шифрования.
Консоль UserDefaults требует изменения: по умолчанию шифрование отсутствует. Вы можете зашифровать содержимое самостоятельно, используя, например, CommonCrypto, но для выполнения простого текста требуется дополнительная работа.
Точка токена OAuth заключается в том, что тот, кто владеет этим токеном, может использовать соответствующую услугу без необходимости предоставления учетных данных. Поэтому вы должны защитить его, как если бы вы защитили пароль, если бы вам пришлось его хранить, поскольку он имеет такое же значение.
Если пользовательское устройство украдено, то, если у них нет защищенного паролем своего устройства, вор может использовать ваше приложение в качестве пользователя в любой из описанных ситуаций. Если вы не зашифровываете токен доступа, они также имеют возможность извлекать это и воспроизводить его из кода под их контролем.