Cryptographic Vulnerability: Hardcoded Key

Vulnerabilidad Criptográfica: Clave Codificada

Risk: medium

Descripción

El propósito principal de cifrar y descifrar datos es garantizar la confidencialidad de la información y evitar que terceros visualicen datos privados. Las claves precompartidas pueden utilizarse al trabajar con grandes conjuntos de datos o para proteger la confidencialidad de los activos de una aplicación o de un usuario. Sin embargo, el uso de una clave codificada (hardcoded) aumenta la posibilidad de que un atacante descifre y recupere los datos en caso de robo del dispositivo.

Recomendación

Para garantizar un cifrado adecuado de los datos confidenciales:

• Las claves deben ser únicas para el dispositivo y pueden utilizar la entrada del usuario para calcular la clave.
• Al generar una clave a partir de una contraseña, utilice salt.
• Al generar una clave a partir de una contraseña, especifique un recuento de iteraciones de hash adecuado.
• Utilice una clave de longitud suficiente para garantizar esta solidez de cifrado.

Enlaces

• Use of Hard-coded Credentials (CWE-798)

Estándares

• OWASP_MASVS_L1:
  • MSTG_CRYPTO_1
• OWASP_MASVS_L2:
  • MSTG_CRYPTO_1
• PCI_STANDARDS:
  • REQ_2_2
  • REQ_3_5
  • REQ_3_6
  • REQ_3_7
  • REQ_4_2
  • REQ_6_2
• OWASP_MASVS_v2_1:
  • MASVS_CRYPTO_2
• SOC2_CONTROLS:
  • CC_2_1
  • CC_4_1
  • CC_6_7
  • CC_7_1
  • CC_7_2
  • CC_7_4
  • CC_7_5
• CNIL_FOR_DEVELOPERS:
  • DEVELOPERS_4_1_4
• HIPAA_CONTROLS:
  • SECURITY251
  • SECURITY212
  • SECURITY213