Это ты видимо не работал с такими приложениями =)

Ага. Тогда я бы рекомендовал тебе не просто хранить ключи в кейсторе, а еще и выводить их на основании данных от юзера. Т.е. тебе нужна KDF функция. В простом варианте можно юзать PBKDF2, но я бы рекомендовал Argon2. Благо, относительно недавно завезли биндинги под Android для него. Эта схема будет +- безопасной в случае если твою БД сопрут с девайса.  Перед Фридой эта схема все еще уязвима, но у тебя не будет этого вектора атаки, ибо он не имеет смысла. Теоретически данные могут угнать имея троян с рут-правами на девайсе, но это тоже не супер простой кейс.

Огромное спасибо за детальный ответ и рекоменации, это было круто =)

Выкатил новый релиз PINkman-а. Теперь там есть Argon2, RxJava3, корутины и возможность блокировать пинкоды из черного списка. Как всегда, я рад любому фидбэку и вашим идеям.

#4developers, #pinkman

https://github.com/RedMadRobot/PINkman/releases

Выкатил новый релиз PINkman-а. Теперь там есть Argon2, RxJava3, корутины и возможность блокировать пинкоды из черного списка. Как всегда, я рад любому фидбэку и вашим идеям.

#4developers, #pinkman

https://github.com/RedMadRobot/PINkman/releases

проходил ли пинкман какой-либо пентест уже?

ну там пентестить особо нечего на самом деле, но ты можешь провести если хочешь =)

картинок так и не появилось) как продавать-то идею манагерам?)))

Про картинки - май бэд =)) Руки не дошли ))))

как у тя так получается?

Что именно?

А, это фишка для админов чата. По дефолту там admin написано, но можно поставить кастомную подпись

картинок так и не появилось) как продавать-то идею манагерам?)))

https://github.com/RedMadRobot/PINkman/wiki - набросал тут картинку для менеджеров =)) Остальные потом.

🤘🏻

откуда DEFAULT_BLACKLIST?

https://www.howtogeek.com/125378/the-most-common-and-least-used-4-digit-pin-numbers-security-analysis-report/ - отсюда. Источника получше я не нашел