# Insufficiently Protected Credentials (CWE-522)

The product transmits or stores authentication credentials, but it uses an insecure method that is susceptible to unauthorized interception and/or retrieval.

- Prevalence: 高 Shoulder ルールなし
- Impact: ミディアム OWASP Top 10 #7
- Prevention: MITRE を参照 外部参照

**OWASP:** Identification and Authentication Failures (A07:2021-Identification and Authentication Failures) - #7

## Description

When credentials are not properly protected during transmission or storage, attackers can capture them and use them to impersonate legitimate users.

## Prevention

## Consequences

- 権限の取得
- 保護メカニズムの回避

## Mitigations

- 資格情報の送信にはすべて TLS を使用する
- 資格情報は salt 付きの強力な一方向ハッシュで保存する
- 安全な資格情報保管メカニズムを使用する