OWAS
OWASP 应用程序安全验证标准 4.0.3
控制项模式应用安全验证标准是一份应用安全需求或测试清单,可供架构师、开发人员、测试人员、安全专家、工具供应商和用户用来定义、构建、测试和验证安全应用程序。
版本: 4.0.3•覆盖状态: 完整覆盖 (286/286)•控制项/量表/总计: 286/0/286•当前展示: 5 / 286•14 个分类
V2.4.1密码以抗离线攻击的形式存储控制项
Authentication / 凭据存储
验证密码是否以能够抵抗离线攻击的形式存储。密码必须使用批准的单向密钥派生或密码哈希函数进行加盐和哈希。密钥派生和密码哈希函数在生成密码哈希时以密码、盐和成本因子作为输入。(C6)
评估
评估状态:
评估备注:
V2.4.2盐至少为 32 位长度,并且可以任意选择,以尽量减少存储哈希之间的盐值冲突控制项
Authentication / 凭据存储
确认盐值长度至少为32位,并应任意选择以最小化存储的哈希值之间的盐值冲突。对于每个凭证,应存储唯一的盐值及其生成的哈希值。(C6)
评估
评估状态:
评估备注:
V2.4.3如果使用 PBKDF2,迭代次数应尽可能大,以服务器验证性能允许为准,通常至少应为 100,000 次迭代控制项
Authentication / 凭据存储
请确保如果使用 PBKDF2,则迭代次数应尽可能大,在验证服务器性能允许的范围内,通常至少为 100,000 次迭代。(C6)
评估
评估状态:
评估备注:
V2.4.4如果使用 bcrypt,其工作因子应尽可能大,以适应验证服务器的性能,最小值为 10控制项
Authentication / 凭据存储
验证如果使用 bcrypt,工作因子应尽可能大,以匹配验证服务器的性能,最小值为 10。(C6)
评估
评估状态:
评估备注:
V2.4.5对密钥派生函数进行额外的迭代,使用只有验证方知道的秘密盐值控制项
Authentication / 凭据存储
验证是否执行了密钥派生函数的额外迭代,使用仅验证者知道的秘密盐值。使用经批准的随机比特生成器 [SP 800-90Ar1] 生成盐值,并提供至少符合 SP 800-131A 最新版本规定的最小安全强度。秘密盐值应与哈希密码分开存储(例如,在像硬件安全模块这样的专用设备中)。
评估
评估状态:
评估备注: