• CWE-1394: Use of Default Cryptographic Key

Das Produkt verwendet einen Standard-Kryptoschlüssel für potenziell kritische Funktionalitäten.

CWE-1394: Use of Default Cryptographic Key

CWE ID: 1394
Name: Use of Default Cryptographic Key

Beschreibung

Das Produkt verwendet einen Standard-Kryptoschlüssel für potenziell kritische Funktionalitäten.

Erweiterte Beschreibung

Es ist üblich, dass Produkte so konzipiert sind, dass sie Standard-Keys verwenden. Die Begründung hierfür liegt in der Vereinfachung des Herstellungsprozesses oder der Aufgabe des Systemadministrators bei der Installation und dem Deployment in ein Unternehmen. Sollten Administratoren jedoch die Standardwerte nicht ändern, wird es für Angreifer deutlich einfacher, Authentifizierungen schnell über mehrere Organisationen hinweg zu umgehen.

Risikominderungsmaßnahmen

Maßnahme (Requirements)

Effektivität: High
Beschreibung: Die Verwendung von Standard-, hard-coded oder anderen Werten, die nicht für jede Installation des Produkts variieren, ist untersagt – insbesondere für separate Organisationen.

Maßnahme (Architecture and Design)

Effektivität: High
Beschreibung: Der Administrator muss die Anmeldeinformationen bei der Installation ändern lassen.

Maßnahme (Installation)

Effektivität: Moderate
Beschreibung: Der Produkt-Administrator kann die Standardwerte bei der Installation oder während des Betriebs ändern.