Boas Práticas: Como lidar com senhas de keystore no android / java? [duplicado]
Esta pergunta já tem uma resposta aqui:
Tratamento de senhas usadas para autenticação no código-fonte 5 respostasSupondo que uma senha para um keystore não seja fornecida ou vinculada a uma senha de usuário (o que significa mais ou menos que é apenas uma String ou uma matriz [] no código em algum lugar), é uma proteção suficiente que simplesmente não pode ou dificilmente pode ser extraído do bytecode?
Eu sei que a senha de um keystore (JKS / BKS) é usada apenas para verificar a integridade do keystore. Além disso, é totalmente claro que devo assumir que um aplicativo é executado em um ambiente mais ou menos confiável para ser "seguro". Mas, de qualquer forma, é possível extrair a senha apenas do arquivo apk?
Parece errado codificar qualquer senha na origem de um aplicativo, então talvez haja algumas idéias sobre como torná-lo realmente menos ameaçador. Por exemplo. seria melhor tornar a senha configurável em um arquivo de configuração externo ou gerá-la aleatoriamente durante a instalação do aplicativo (e onde deve ser armazenada)?