SEC-012 P2: PBKDF2 迭代次數可能過低

Resolved 💬 2 comments Opened Mar 22, 2026 by stephen-taipei Closed Mar 25, 2026

問題描述

CryptoService 的 PBKDF2 迭代次數設為 100,000,低於 OWASP 2025 建議的 600,000,可能被 GPU 暴力破解。

檔案位置

ios-swift/Connectors/Services/CryptoService.swift:35

詳細說明

private static let pbkdf2Iterations = 100_000  // 2025 建議 >= 600,000

若攻擊者獲得加密的備份檔案,可使用 GPU 快速暴力破解。

風險評估

  • 密碼衍生金鑰強度不足
  • 備份檔案可被暴力破解
  • 不符合最新安全標準

解決方案

  1. 將迭代次數提升至 600,000 或更高
  2. 定期檢查 NIST 和 OWASP 最新建議
  3. 考慮使用 Argon2(更抗 GPU 破解),但需實現向後相容性

View original on GitHub ↗

This issue has 2 comments on GitHub. Read the full discussion on GitHub ↗