Cryptographic Vulnerability: Hardcoded Key
密码学漏洞:硬编码密钥
描述
加密和解密数据的主要目的是保证信息的机密性,防止第三方查看私人数据。 在处理大型数据集或保护应用程序或用户资产的机密性时,可能会使用预共享密钥(Pre-shared keys)。 然而,使用硬编码(hardcoded)密钥会增加在设备被盗的情况下,攻击者解密和恢复数据的可能性。
建议
为确保敏感数据得到正确加密:
- 密钥对设备必须是唯一的,并且可以使用用户的输入来计算密钥。
- 从密码生成密钥时,请使用盐(salt)。
- 从密码生成密钥时,请指定适当的哈希迭代次数。
- 使用长度足够的密钥以保证这种加密的强度。
链接
标准
- OWASP_MASVS_L1:
- MSTG_CRYPTO_1
- OWASP_MASVS_L2:
- MSTG_CRYPTO_1
- PCI_STANDARDS:
- REQ_2_2
- REQ_3_5
- REQ_3_6
- REQ_3_7
- REQ_4_2
- REQ_6_2
- OWASP_MASVS_v2_1:
- MASVS_CRYPTO_2
- SOC2_CONTROLS:
- CC_2_1
- CC_4_1
- CC_6_7
- CC_7_1
- CC_7_2
- CC_7_4
- CC_7_5
- CNIL_FOR_DEVELOPERS:
- DEVELOPERS_4_1_4
- HIPAA_CONTROLS:
- SECURITY251
- SECURITY212
- SECURITY213