CWE-334 descrive una debolezza in cui un sistema utilizza uno spazio di valori casuali troppo קטןo, oppure una casualità troppo prevedibile. In pratica, ciò significa che per un aggressore è molto più facile indovinare segreti come ID di sessione, token, nonce o valori di challenge. Se lo spazio dei token è debole, i tentativi di brute force diventano realistici invece che impraticabili.
Questo è importante perché molti controlli di sicurezza dipendono da valori impossibili da indovinare. I login web, le sessioni API, i reset delle password e i portali di gestione dei dispositivi si affidano tutti alla casualità per impedire a un utente di impersonarne un altro. Quando la casualità è debole, gli aggressori possono dirottare sessioni, aggirare i controlli di accesso o recuperare dati sensibili tramite tentativi ripetuti di indovinamento. I difensori riducono questo rischio utilizzando generatori di numeri casuali crittograficamente sicuri, generando token sufficientemente lunghi, evitando schemi prevedibili e limitando le interfacce di gestione esposte con segmentazione e controlli di accesso.