Veracode易受攻击密码问题

Question

我正面临着Veracode所指出的密码安全问题。请在下面检查一下，帮我解决这个问题。

System.Security.Cryptography.MD5CryptoServiceProvider crypthandler =
    new System.Security.Cryptography.MD5CryptoServiceProvider();

Answer 1

MD5被认为是一个不安全或“损坏”的散列函数。假设您要得到一个CWE 327 (使用一个损坏的或有风险的密码算法)，您可以通过更新到SHA-2系列哈希函数来修复这个问题。

我建议SHA-256、SHA-384或SHA-512用于将来的打样.

示例：

using (SHA512CryptoServiceProvider crypthandler = new SHA512CryptoServiceProvider())
{
    ...
}

Answer 2

使用破损或有风险的密码算法(CWE ID 327)描述使用破损或有风险的密码算法是不必要的风险，可能导致敏感信息的泄露。

MD5CryptoServiceProvider hashmd5 = new MD5CryptoServiceProvider();
SHA512CryptoServiceProvider hashmd5 = new SHA512CryptoServiceProvider();              

参考以下链接：

http://bestanswers.in/2016/06/30/fix-veracode-flaw-cwe-id-327-use-broken-risky-cryptographic-algorithm/