На этот вопрос уже есть ответ здесь:

Предполагая, что пароль для хранилища ключей не предоставлен или не привязан к паролю пользователя (что более или менее означает его просто как String или Array [] в коде где-то), является ли он достаточной защитой, которую он просто не может или может только с трудом извлекаться из байт-кода?

Я знаю, что пароль для хранилища ключей (JKS / BKS) просто используется для проверки целостности хранилища ключей. Более того, совершенно очевидно, что я должен предположить, что приложение работает в более или менее надежной среде, чтобы быть «безопасным». Но в любом случае, возможно ли извлечь пароль только из файла apk?

Просто кажется неправильным жестко кодировать любой пароль в источнике приложения, поэтому, возможно, есть некоторые идеи, как сделать его на самом деле менее опасным. Например. Было бы лучше сделать пароль настраиваемым во внешнем файле конфигурации или генерировать его случайным образом во время установки приложения (и где его следует хранить)?