Skip to main content

V2.6.2 Look-up Secret Verifier

Requirement:#

Verify that lookup secrets have sufficient randomness (112 bits of entropy), or if less than 112 bits of entropy, salted with a unique and random 32-bit salt and hashed with an approved one-way hash.

Explanation:#

Проверка случайности секретов поиска — важный шаг в поддержании безопасности системы. Рекомендуется, чтобы секреты поиска имели по крайней мере 112 бит энтропии, что обеспечивает высокий уровень безопасности и затрудняет для злоумышленника угадывание секрета с помощью грубой силы или других средств. Если секреты поиска имеют менее 112 бит энтропии, рекомендуется добавить уникальную и случайную 32-битную соль и хэшировать секрет с помощью утвержденной односторонней хэш-функции. Соль служит для добавления к секрету дополнительного уровня случайности и затрудняет угадывание секрета злоумышленником, даже если он получит хешированное значение. Утвержденные односторонние хэш-функции включают SHA-256, SHA-384 и SHA-512. Эти хэш-функции считаются криптографически безопасными, а это означает, что с вычислительной точки зрения невозможно обратить хэш для получения исходного секрета. Убедившись, что секреты поиска имеют достаточную случайность, а также добавлены соли и хешированы, как описано, риск несанкционированного доступа может быть значительно снижен, а безопасность системы может поддерживаться.

Remediation:#

Если обнаруживается, что секреты поиска не имеют достаточной случайности или не содержат соль и хэш, как рекомендуется, можно предпринять следующие шаги по исправлению:

  • Создание новых секретов: должны быть созданы новые секреты, которые соответствуют рекомендуемым требованиям к энтропии и соли/хэшу. Это можно сделать с помощью безопасного генератора случайных чисел, чтобы обеспечить случайность секретов.
  • Замените скомпрометированные секреты: новые секреты должны быть распространены среди пользователей для замены скомпрометированных секретов. Это можно сделать, отправив электронное письмо или SMS-сообщение с новым секретом или предоставив его лично, если пользователь может посетить офис.
  • Мониторинг журналов доступа: журналы доступа следует отслеживать для обнаружения любых попыток несанкционированного доступа, которые могли использовать скомпрометированные секреты. Любая подозрительная деятельность должна быть расследована и приняты соответствующие меры.
  • Улучшите меры безопасности: процесс исправления должен включать проверку мер безопасности системы для выявления любых слабых мест, которые могли способствовать возникновению проблемы. Это может включать внедрение дополнительных мер безопасности, таких как шифрование или более надежные методы аутентификации, для предотвращения подобных инцидентов в будущем.
  • Обучайте пользователей: пользователи должны быть осведомлены о важности сохранения конфиденциальности своих секретов и использования их только один раз. Их также следует информировать о предпринятых мерах по исправлению положения и любых дополнительных шагах, которые им необходимо предпринять для обеспечения постоянной безопасности. 

Выполняя эти шаги по исправлению, можно свести к минимуму риск несанкционированного доступа и сохранить безопасность системы. Важно иметь четко определенный процесс исправления, чтобы гарантировать быстрое и эффективное решение любых проблем, связанных с безопасностью.

Additional:#

Edit this page