Iphone 将信用卡信息保存在钥匙串中或使用密码学？ [关闭]

Posted 2023-02-22

【中文标题】Iphone 将信用卡信息保存在钥匙串中或使用密码学？ [关闭]

【英文标题】：Iphone save Credit card info in keychain or use cryptography? [closed]

【发布时间】：2013-02-10 10:19:48

【问题描述】：

我正在开发一个 Iphone 应用程序。 我需要在 Iphone 上存储用户的信用卡信息，并且我有一些关于安全性的问题。

1) 实施加密系统来加密信用卡号（或使用可用库之一）更好还是我可以只使用钥匙串来存储 CC 号码？钥匙串是否被认为是保存 CC 信息的好地方？

2) 我还应该加密（或保存在钥匙串中）到期日期吗？

3) 我应该保存安全代码（或 CCV）吗？还是要求用户每次都输入？

感谢您的澄清

【参考方案1】：

我建议您阅读 PCI 的以下文档：

使用智能手机或平板电脑接受移动支付

https://www.pcisecuritystandards.org/documents/accepting_mobile_payments_with_a_smartphone_or_tablet.pdf

我的建议是：

除非绝对必要，否则不要存储抄送详细信息。 切勿存放 CVV 不要实现自己的加密机制，使用框架提供的加密机制。

有任何问题，请告诉我。

问候， 法比奥 @fcerullo

【讨论】：

这绝对是正确的答案。存储不遵循 PCI 规则的 CC 信息对您（因为它可能使您面临潜在的民事责任和/或来自 PCI 的罚款）和您的用户（因为您可能会搞砸实现自制安全性）都是坏消息设置）

【参考方案2】：

这些是您 Qestion 上的以下 cmets 对于 Q1 - 是的，最好使用加密类来为这种高度安全的数据使用一个好的算法。例如。 AES128 或 AES256 算法。

对于第二季度 - 是的，您可以将加密数据保存在 Key Chain 中，这是一个安全数据的好地方。

对于第三季度 - 我认为您应该要求用户每次输入 CVV 编号。就像每个移动 rehrge 网站一样。 paytm.com

【讨论】：

对于 Q2，我的意思是，我也应该加密到期日期吗？或者只是将其保存为纯文本（敏感数据是否足以被加密）？

是的，你也应该加密最后日期......因为它是信用卡的敏感数据......

只是补充一点，使用经过良好测试、广泛使用的密码库。

自制一个 CC 存储方案，即使使用“好算法”也是个坏消息。绝对不要在钥匙串上存储信用卡#。 “使用 PCI 验证的解决方案”是您应该考虑的唯一答案。

@PeterElliott Elliott software-security.sans.org/blog/2011/01/05/…