SEC-012 P2: PBKDF2 迭代次數可能過低
Resolved 💬 2 comments Opened Mar 22, 2026 by stephen-taipei Closed Mar 25, 2026
問題描述
CryptoService 的 PBKDF2 迭代次數設為 100,000,低於 OWASP 2025 建議的 600,000,可能被 GPU 暴力破解。
檔案位置
ios-swift/Connectors/Services/CryptoService.swift:35
詳細說明
private static let pbkdf2Iterations = 100_000 // 2025 建議 >= 600,000
若攻擊者獲得加密的備份檔案,可使用 GPU 快速暴力破解。
風險評估
- 密碼衍生金鑰強度不足
- 備份檔案可被暴力破解
- 不符合最新安全標準
解決方案
- 將迭代次數提升至 600,000 或更高
- 定期檢查 NIST 和 OWASP 最新建議
- 考慮使用 Argon2(更抗 GPU 破解),但需實現向後相容性
This issue has 2 comments on GitHub. Read the full discussion on GitHub ↗