我正在我的个人电脑上开发 Android 应用程序。
在我看来,保护密钥库来签署 Android 应用程序似乎有点矫枉过正。 保护通常是一件痛苦的事,所以只有当我获得任何实际优势时我才会应用它。 Android 文档仅讨论同一台计算机上的其他用户,但这对我来说无效。
是否有任何合理的需要来保护受保护的个人计算机上的密钥库?
是否有合理的需要在安全的个人计算机上的密钥库上使用强密码?
如果您可以确定,无论在线还是离线,没有人能够访问您的密钥库文件,那么就没有必要。
是的,这里确实存在一个非常令人担忧的问题。
假设您很幸运,编写了价值一百万美元的应用程序。恶意软件分发者只需找出您的身份并入侵您的计算机即可。然后他们就可以访问应用程序源代码和密钥库,甚至可以访问您的 Google 登录凭据。如果您没有保护密钥库,则几乎无法阻止他们通过您的帐户通过 Android 市场分发您的应用程序的劫持版本。
向密钥库添加密码实际上并不需要太多额外的努力,您应该始终这样做。
始终担心有人会获取密码。问题是这重要吗?如果确实如此,那么最好不要将其存储在任何地方,除非您有一个安全可靠的 aes 加密程序来应对难以编程的情况。如果你有的话,你仍然需要确保密码足够复杂,所以至少使用 12 个字符,这样它就不会被暴力破解