Как обрабатывать биометрику с паролем? ⇐ Android

[Anonymous]

Моему приложению требуется пароль для использования. Пользователь вводит свой пароль в первый раз, когда они открывают приложение, я отправляю пароль на сторону сервера, и он выполняет обычную процедуру солирования хеширования+. В следующий раз, когда пользователь входит в пароль, я отправляю его в бэк-энд, чтобы проверить и отправлять мне временный токен, который будет использоваться для дальнейших запросов. Он работает нормально. < /P>
Теперь я хочу, чтобы пользователь мог войти в систему с биометрией (отпечаток пальца и т. Д.). Android обрабатывает это и дает мне знать, если пользователь прошел биометрическую аутентификацию. Но тогда у меня нет пароля для отправки на бэк-энд и получить токен. Как мне это справиться? Я полагаю, что я мог бы сохранить пароль и отправить его, если биометрическая аут проходит, но это звучит как огромная уязвимость безопасности. Я мог бы зашифровать пароль, но это создает проблему хранения ключа шифрования. Есть ли безопасный способ хранения паролей, чтобы он был виден только для моего приложения? SharedPreferences можно обойти с помощью корневого доступа, так что это, вероятно, не вариант. Обнаружение корневых телефонов также не является надежным с «без системного корня» и тому подобным.

Подробнее здесь: https://stackoverflow.com/questions/685 ... a-password