CWE ID: 521
Name: Weak Password Requirements
Das Produkt erfordert keine starken Passwörter, was es Angreifern erleichtert, Benutzerkonten zu kompromittieren.
Authentifizierungsmechanismen stützen sich häufig auf ein auswendig gelerntes Geheimnis (auch bekannt als Passwort), um eine Aussage über die Identität eines Benutzers eines Systems zu liefern. Es ist daher wichtig, dass dieses Passwort eine ausreichende Komplexität aufweist und für einen Angreifer nicht erratbar ist. Die spezifischen Anforderungen an die Komplexität eines Passworts hängen vom Typ des zu schützenden Systems ab. Die Auswahl der korrekten Passwortrichtlinien und deren Durchsetzung durch die Implementierung sind entscheidend für den Gesamterfolg des Authentifizierungsmechanismus.
Effektivität: Unknown
Beschreibung: Erwägen Sie einen zweiten Authentifizierungsfaktor jenseits des Passworts, der verhindert, dass das Passwort ein Single Point of Failure darstellt. Weitere Informationen dazu finden Sie in CWE-308.
Effektivität: Unknown
Beschreibung: Erwägen Sie die Implementierung eines Password Complexity Meters, um Benutzer darüber zu informieren, wenn ein gewähltes Passwort die erforderlichen Attribute erfüllt.
