脆弱な暗号アルゴリズムの使用
脆弱な暗号アルゴリズムの使用
概要
MD5、SHA-1、DES、RC4などの脆弱な暗号アルゴリズムは、十分な保護を提供できません。
影響
衝突、小さい鍵長、既知の攻撃により、完全性や機密性が損なわれる可能性があります。
対策
SHA-256以上のハッシュ、AES-GCM、現代的なTLS設定など、現在推奨されるアルゴリズムとライブラリを使用します。
例
public String getCryptedPassword(String salt, String password) {
return new MD5HashGenerator().getValue(password);
}
public String getSalt(String userId, String password) {
return SHA256HashGenerator.getInstance().getValue("--" + Calendar.getInstance().getTime().toString() + "--" + userId + "--");
}
public String getCryptedPassword(String salt, String password) {
return SHA256HashGenerator.getInstance().getValue("nest--" + salt + "--" + password + "--");
}