CWE ID: 760
Name: Use of a One-Way Hash with a Predictable Salt
Das Produkt verwendet einen unidirektionalen kryptografischen Hash auf eine Eingabe, die nicht umkehrbar sein sollte, beispielsweise ein Passwort. Allerdings wird ein vorhersehbares Salt als Teil der Eingabe verwendet.
Effektivität: Limited
Beschreibung: Sollte eine Technik, die zusätzlichen Rechenaufwand erfordert, nicht implementiert werden können, generiere für jedes Passwort, das verarbeitet wird, ein neues, zufälliges Salt unter Verwendung eines robusten, zufälligen Zahlengenerators mit unvorhersehbaren Seeds. Füge das Salt dem Klartext-Passwort hinzu, bevor es gehasht wird. Speichere bei der Speicherung des Hash auch das Salt. Verwende nicht dasselbe Salt für jedes Passwort.
Notizen: Es ist wichtig zu beachten, dass Salts die Arbeitsbelastung eines gezielten Angriffs auf einen einzelnen Hash (z.B. das Passwort einer kritischen Person) nicht reduzieren. Im Allgemeinen sind sie weniger effektiv als andere Hashing-Techniken wie die Erhöhung der Rechenzeit oder des Speicheraufwands. Ohne eine inhärente Arbeitsbelastung können moderne Angriffe mit massiv-paralleler Berechnung und Hardware wie GPUs, ASICs oder FPGAs eine große Anzahl von Hashes berechnen oder sogar den gesamten Raum aller möglichen Passwörter in sehr kurzer Zeit erschöpfen.
In der Kryptographie bezeichnet ein Salt eine zufällige Ergänzung von Daten zu einem Input, bevor dieser gehasht wird, um sogenannte Dictionary Attacks zu erschweren.
