Wie und wo wird das Google Mail-Passwort in Android gespeichert?

Ich habe mich umgesehen und keine Informationen gefunden, wie Android es schafft, Passwörter auf dem Gerät zu speichern. Insbesondere Google Mail-Passwörter. Ich möchte erfahren, wie Android Passwörter verschlüsselt und speichert. Welcher Schlüssel wird verwendet und wo wird dieser Schlüssel gespeichert und welcher Verschlüsselungsalgorithmus wird verwendet.

Die offizielle Google Mail-App speichert kein Passwort auf Ihrem Gerät. Ihr Passwort ist 100% sicher, wenn Sie diese App verwenden.

So funktioniert es: Das Passwort wird NUR von den Authentifizierungsservern von Google zum ersten Mal verwendet. Nach der ersten erfolgreichen Authentifizierung wird ein Auth Tokenauf ein Gerät heruntergeladen, das accounts.dbals Klartext in einer Datei gespeichert ist . Für alle nachfolgenden Anmeldungen wird dies Auth Tokenverwendet, NICHT Ihr ursprüngliches Passwort.
Wenn also Ihr Gerät gestohlen wird, kann nur jemand etwas bekommen, Auth Tokendas ungültig wird, sobald Sie Ihr Passwort ändern. Sie haben also das ultimative Kommando.
Für die ultimative Sicherheit empfehle ich Ihnen 2-Factor Authentication, diese Funktion Device Specific Passwordfür Ihr Gerät zu aktivieren und zu erstellen . Nachdem Sie das Gerät verloren haben, müssen Sie es nur noch deaktivieren. Sie müssen nicht einmal das Hauptkennwort ändern.

Hinweis: Dies gilt nicht für E-Mail-Apps von Drittanbietern für Google Mail. Stock E-Mail-App, K-9 Mail usw. IMAP- oder POP-Protokoll benötigen ein Originalkennwort, um Benutzer jederzeit zu authentifizieren. Daher muss ein einfaches Kennwort für die E-Mail-App verfügbar sein, bevor es an den Server gesendet wird. Die meisten E-Mail-Apps speichern Kennwörter daher im Nur-Text-Format (Hashing / Verschlüsselung ist nutzlos, da Hashing / Verschlüsselungsschlüssel lokal gespeichert werden müssen). In diesem Fall empfehle ich Ihnen, die Funktion für Ihr Gerät zu aktivieren 2-Factor Authenticationund zu erstellen Device Specific Password. Nachdem Sie das Gerät verloren haben, müssen Sie es nur noch deaktivieren.

Update:
Technisch ist es möglich, Passwörter lokal in verschlüsselter / gehashter Form zu speichern, ohne den Verschlüsselungs- / Hashing-Schlüssel lokal im Klartext zu belassen. Vielen Dank an @JFSebastian für den Hinweis. Leider ist eine solche Implementierung für Android noch nicht verfügbar. Beim Starten von ICS stellt Android die KeyChain-API bereit, mit der eine App ein Kennwort lokal in sicherer Form speichern kann. Apps, die die KeyChain-API verwenden, sind selten, aber die Standard-E-Mail-App verwendet sie (Vielen Dank an @wawa für diese Informationen). So ist Ihr Passwort mit der Standard-E-Mail-App sicher, solange Ihr Bildschirm gesperrt ist. Denken Sie daran, dass KeyChain nicht sicher ist, wenn das Gerät gerootet ist und auf Geräten vor ICS nicht verfügbar ist.

Android-Passwörter, die mit der integrierten E-Mail-Anwendung verwendet werden, werden in einer SQLite-Datenbank im Klartext gespeichert. Dies steht im Gegensatz zu der Google Mail- Anwendung, die Authentifizierungstoken verwendet, wie in Sachin Sekhars Antwort beschrieben .

Für Jelly Bean lautet der Speicherort der Datenbank:

/data/system/users/0/accounts.db

^{Die oben angegebene Position hängt von der Android-Version ab}

Dieser Speicherort auf einem nicht gerooteten Gerät wird vom Betriebssystem gesichert und geschützt.
Auf gerooteten Geräten haben Benutzer ihre eigene Sicherheit bereits technisch geknackt, und selbst wenn sie nicht im Nur-Text-Format vorliegen würde, wäre das Entschlüsseln dennoch trivial, da der Schlüssel dazu irgendwo auf dem Gerät vorhanden sein muss.

Ein Mitglied des Android-Entwicklungsteams hat eine Erklärung veröffentlicht , die bis heute noch gilt:

Nun zu diesem besonderen Anliegen. Zunächst muss klargestellt werden, dass die E-Mail-App vier Protokolle unterstützt: POP3, IMAP, SMTP und Exchange ActiveSync. Mit wenigen, sehr eingeschränkten Ausnahmen handelt es sich hierbei um ältere Protokolle, bei denen der Client dem Server das Kennwort vorlegen muss bei jeder Verbindung. Bei diesen Protokollen müssen wir das Kennwort so lange aufbewahren, wie Sie das Konto auf dem Gerät verwenden möchten. Neuere Protokolle tun dies nicht. Aus diesem Grund haben einige Artikel beispielsweise einen Kontrast zu Google Mail hergestellt. Neuere Protokolle ermöglichen es dem Client, das Kennwort einmal zu verwenden, um ein Token zu generieren, das Token zu speichern und das Kennwort zu verwerfen.

Ich fordere Sie auf, den Artikel zu lesen, auf den in Kommentar 38 verwiesen wird , der gut geschrieben und recht informativ ist. Es liefert einige sehr gute Hintergrundinformationen über den Unterschied zwischen dem "Verschleiern" von Passwörtern und dem "Sichern" von Passwörtern. Einfach Ihr Passwort Verschleiern (zB base64) oder es mit einem Schlüssel an anderer Stelle gespeichert Verschlüsselung nicht vergessen machen oder sicherer Ihre Daten. Ein Angreifer kann es weiterhin abrufen.

(Insbesondere wurde behauptet, dass einige der anderen E - Mail - Clients das Kennwort nicht im Klartext speichern. Auch wenn dies zutrifft, bedeutet dies nicht, dass das Kennwort sicherer ist. Ein einfacher Test: Wenn Sie das System starten können Wenn das Gerät E-Mails von Ihren konfigurierten Konten empfängt, sind die Kennwörter nicht wirklich sicher. Sie sind entweder verschleiert oder mit einem anderen Schlüssel verschlüsselt, der an einem anderen Ort gespeichert ist.)

Da dieses Problem anscheinend viele Android-Benutzer stört, können Sie diese Diskussion auch unter Slashdot - In Klartext gespeicherte Android-Kennwortdaten verfolgen .