हाँ, यह Android पर मुश्किल है। आप प्लेनटेक्स्ट पासवर्ड को वरीयताओं में स्टोर नहीं करना चाहते हैं, क्योंकि रूटेड डिवाइस वाला कोई भी व्यक्ति मूल रूप से दुनिया को अपना पासवर्ड प्रदर्शित करेगा। दूसरी तरफ, आप एन्क्रिप्टेड पासवर्ड का उपयोग नहीं कर सकते, क्योंकि आपको अपनी एन्क्रिप्शन/डिक्रिप्शन कुंजी को डिवाइस पर कहीं स्टोर करना होगा, फिर से रूट अटैक के लिए अतिसंवेदनशील।
एक समाधान जो मैंने कुछ समय पहले उपयोग किया था, वह यह है कि सर्वर एक "टिकट" उत्पन्न करता है जिसे वह डिवाइस पर वापस भेजता है, जो एक निश्चित अवधि के लिए अच्छा है। इस टिकट का उपयोग डिवाइस द्वारा सभी संचार के लिए किया जाता है, निश्चित रूप से एसएसएल का उपयोग करके ताकि लोग आपका टिकट चोरी न कर सकें। इस तरह, उपयोगकर्ता एक बार सर्वर पर अपना पासवर्ड प्रमाणित करता है, सर्वर एक समाप्त होने वाली टिकट वापस भेजता है, और पासवर्ड डिवाइस पर कहीं भी संग्रहीत नहीं होता है।
कई तीन-पैर वाले प्रमाणीकरण तंत्र, जैसे ओपनआईडी, फेसबुक, यहां तक कि Google एपीआई, इस तंत्र का उपयोग करते हैं। नकारात्मक पक्ष यह है कि हर बार जब टिकट की समय सीमा समाप्त हो जाती है, तो उपयोगकर्ता को फिर से लॉगिन करने की आवश्यकता होती है।
अंततः, यह इस बात पर निर्भर करता है कि आप अपने आवेदन को कितना सुरक्षित रखना चाहते हैं। यदि यह केवल उपयोगकर्ताओं को अलग करने के लिए है, और बैंक खातों या रक्त प्रकारों की तरह कोई सुपर-सीक्रेट जानकारी संग्रहीत नहीं की जा रही है, तो शायद डिवाइस पर पीडब्ल्यूडी को प्लेन टेक्स्ट में सहेजना ठीक है :)
सौभाग्य, जो भी तरीका आप तय करते हैं वह आपकी विशेष स्थिति के लिए सबसे अच्छा है!
संपादित करें:मुझे ध्यान रखना चाहिए कि यह तकनीक सर्वर पर सुरक्षा की ज़िम्मेदारी स्थानांतरित करती है - आप सर्वर पर पासवर्ड तुलना के लिए नमकीन हैश का उपयोग करना चाहेंगे, एक विचार जिसे आप इस प्रश्न के लिए कुछ अन्य टिप्पणियों में देखेंगे। यह प्लेनटेक्स्ट पासवर्ड को डिवाइस पर एडिटटेक्स्ट व्यू, सर्वर से एसएसएल संचार, और सर्वर की रैम को छोड़कर कहीं भी प्रदर्शित होने से रोकता है, जबकि यह पासवर्ड को नमक और हैश करता है। इसे कभी भी डिस्क पर संग्रहीत नहीं किया जाता है, जो कि एक अच्छी बात है।
