V2.6.3 Look-up Secret Verifier

Requirement:

Verify that lookup secrets are resistant to offline attacks, such as predictable values.

Explanation:

Использование взломанного или ненадежного криптографического алгоритма представляет собой ненужный риск, который может привести к раскрытию конфиденциальной информации.

Использование нестандартного алгоритма опасно, поскольку  злоумышленник может взломать алгоритм и поставить под угрозу любые защищенные данные. Могут существовать хорошо известные методы взлома алгоритма.

Remediation:

Если обнаруживается, что секреты поиска не устойчивы к автономным атакам, таким как предсказуемые значения, можно предпринять следующие шаги по исправлению:

• Генерация новых секретов: должны быть созданы новые секреты, устойчивые к автономным атакам. Это можно сделать с помощью безопасного генератора случайных чисел, чтобы обеспечить случайность секретов.
• Замените скомпрометированные секреты: новые секреты должны быть распространены среди пользователей для замены скомпрометированных секретов. Это можно сделать, отправив электронное письмо или SMS-сообщение с новым секретом или предоставив его лично, если пользователь может посетить офис.
• Мониторинг журналов доступа: Журналы доступа следует отслеживать для обнаружения любых попыток несанкционированного доступа, которые могли использовать скомпрометированные секреты. Любая подозрительная деятельность должна быть расследована и приняты соответствующие меры.
• Улучшите меры безопасности: процесс исправления должен включать проверку мер безопасности системы для выявления любых слабых мест, которые могли способствовать возникновению проблемы. Это может включать внедрение дополнительных мер безопасности, таких как шифрование или более надежные методы аутентификации, для предотвращения подобных инцидентов в будущем.
• Обучайте пользователей: Пользователи должны быть осведомлены о важности сохранения конфиденциальности своих секретов и использования их только один раз. Их также следует информировать о предпринятых мерах по исправлению положения и любых дополнительных шагах, которые им необходимо предпринять для обеспечения постоянной безопасности. 

Выполняя эти шаги по исправлению, можно свести к минимуму риск несанкционированного доступа и сохранить безопасность системы. Важно иметь четко определенный процесс исправления, чтобы гарантировать быстрое и эффективное решение любых проблем, связанных с безопасностью.

Общее представление как создавать новвые секреты, устойчивые к атакам в автономном режиме:

Пример кода, как создавать новые секреты, устойчивые к атакам

import secrets

def generate_secret():

# Generate a secret with 128 bits of entropy

secret = secrets.token_hex(16)

return secret

new_secret = generate_secret()

Этот код использует модуль secrets в Python для создания секрета со 128 битами энтропии. Функция token_hex возвращает шестнадцатеричную строку, которую можно использовать в качестве секрета. Опять же, обратите внимание, что это всего лишь общая идея, и конкретная реализация может варьироваться в зависимости от технологии и требований системы.

Additional:

https://cwe.mitre.org/data/definitions/327.html