O.Cryp 1

Aus d.hack

Beschreibung

Beim Einsatz von Verschlüsselung in der Web-Anwendung DÜRFEN KEINE fest einprogrammierten geheimen, bzw. privaten Schlüssel eingesetzt werden.

Kurzfassung

Keine fest einprogrammierten Schlüssel oder anderweitige Geheimnisse.

Anmerkungen

Prüftiefe


EXAMINE


Der Evaluator prüft, ob fest einprogrammierte geheime, bzw. private Schlüssel eingesetzt werden.

Lösungsansätze

Just-in-Time-Bereitstellung (JIT): Die Implementierung von JIT-Privilegien ermöglicht es, erweiterte Berechtigungen nur für die Dauer einer Sitzung oder Aufgabe zu gewähren, was die potenzielle Angriffsfläche erheblich reduziert und sicherstellt, dass keine fest einprogrammierten Schlüssel verwendet werden.


Zero Standing Privileges: Das Prinzip des ZSP besagt, dass niemand oder nichts dauerhaften Zugriff auf Ihre Cloud-Konten und -Daten haben sollte. Dies schließt die Verwendung fest einprogrammierter geheimer Schlüssel aus.

Links / Einzelnachweise

[1]

Abgerufen von „https://dhack.labs.inf.fh-dortmund.de//index.php?title=O.Cryp_1&oldid=272