A2 - Cryptographic Failures
als Präsentation ▻Auf Platz 2 der OWASP Top 10 2021: Cryptographic Failures.
Fehler bei der Verschlüsselung oder fehlende Verschlüsselung kann dazu führen dass sensible Daten zugänglich werden.
▻Maßnahmen
- Klassifizierung der Daten die verarbeitet, gespeichert oder übertragen werden. Welche Daten sind aufgrund von Datenschutzgesetzen, behördlichen Vorschriften oder Geschäftsanforderungen sensibel?
- Sicherstellen, dass vertrauliche Daten bei der Übertragung (“in transit”) und Speicherung (“at rest”) durch geeignet Verschlüsselung geschützt werden.
- Kein unnötiges Speichern vertraulicher Daten. Löschung nicht mehr benötigter Daten. Daten, die es nicht gibt, können auch nicht gestohlen werden.
- Sicherstellen, dass starke Algorithmen und Schlüssel verwendet werden.
- Sicherstellen, dass Passwörter mit einem speziell für Passwortschutz entwickelten Algorithmus gespeichert werden.
- Deaktivieren der Autovervollständigung und des Cachings in Formularen mit vertraulichen Informationen.
Dieser Maßnahmen sind auch durch den Datenschutz gesetzlich vorgeschrieben!
▻Links
- mdn: autocomplete-attribute für input tags
- SSL Server Test - später, wenn wir selbst https konfigurieren