Frilansande utvecklare måste vara sa uttryckligen att skriva kod som lagrar lösenord i ett tryggt och säkert sätt, en färsk studie har visat.
I ett experiment som deltar 43 programmerare hyrt via Freelancer.com plattform, Universitetet i Bonn akademiker har upptäckt att utvecklare tenderar att ta den enkla vägen ut och skriva kod som lagrar lösenord i ett osäkert sätt.
För sin studie, den tyska akademiker bad en grupp 260 Java-programmerare att skriva en användare system för registrering av en falsk sociala nätverk.
Av de 260 utvecklare, endast 43 tog upp jobbet, som innebar att man med hjälp av tekniker som Java, JSF, Hibernate, och PostgreSQL för att skapa användaren registrering component.
Av de 43, akademiker betalas hälften av gruppen med €100, och den andra hälften med €200, för att avgöra om högre lön gjort en skillnad i genomförandet av lösenord säkerhetsfunktioner.
Vidare, de skilde utvecklare grupp en andra gång, vilket fick hälften av utvecklare för att lagra lösenord på ett säkert sätt, och lämnar den andra hälften för att lagra lösenord i deras föredragna metoden –därmed bildar fyra fjärdedelar av utvecklare betalade €100 och du uppmanas att använda ett säkert lösenord lagring metod (P100), utvecklare betalade €200 och du uppmanas att använda ett säkert lösenord lagring metod (P200), devs betalade €100, men inte tillfrågad om lösenord säkerhet (N100), och de betalade €200 men inte tillfrågad om lösenord säkerhet (N200).
Bild: Naiakshina et al.
Forskarna sade utvecklare tog tre dagar på sig att lämna sitt arbete, och att de var tvungna att be 18 av 43 att skicka in sin kod för att inkludera ett lösenord trygghet när de först skickas ett projekt som sparade lösenord i klartext.
Av de 18 som hade att skicka in sin kod, 15 utvecklare var en del av den grupp som aldrig sa till användaren av systemet för registrering som behövs för att lagra lösenord på ett säkert sätt, visar att utvecklare inte till sin natur tänker på säkerheten när du skriver kod.
Bild: Naiakshina et al.
De andra tre var från den halva som fick höra att använda en säker metod för att lagra lösenord, men som sparade lösenord i klartext i alla fall.
Bild: Naiakshina et al.
Resultaten visar att graden av förståelse av vad som är “säkra lösenord” menar skiljer sig avsevärt åt i webbutveckling samhället.
Av secure password storage system utvecklare valde att genomföra denna studie, endast de två sista, SHA-256 och Bcrypt, anses säkra.
8 – Base64
10 – MD5
1 – SHA-1
3 – 3DES
3 – AES
5 – PBKDF2
1 – HMAC/SHA1
5 – SHA-256
7 – Bcrypt
Den första, Base64, inte ens en krypteringsalgoritm, men en kodning funktion, något som de deltagande utvecklare verkar inte veta. På samma sätt för MD5, som är en hash-funktion.
“Många deltagare som används hash och kryptering som synonymer,” team av forskare sade i sin uppsats.
“Av de 18 deltagare som fått extra säkerhet begäran, 3 bestämde mig för att använda Base64-och hävdade, till exempel: “[jag] krypterad det så klart lösenordet är inte synlig’ och ‘Det är mycket svårt att dekryptera’,” forskare –belyser att vissa av deltagarna i studien inte känner till den grundläggande skillnaden mellan en krypteringsalgoritm och en funktion som bara blandar karaktärer runt.
Dessutom, bara 15 av 43 utvecklare valde att genomföra saltning, en process genom vilken den krypterade lösenord lagras i en databas är svårare att knäcka, med tillägg av ett slumpmässigt data faktor.
Studien fann också att 17 av 43 utvecklare kopierade koden från internet, vilket tyder på att de frilansare som inte har den kompetens som krävs för att utveckla ett säkert system från grunden, och valde att använda kod som kan vara föråldrad eller ens full med buggar.
Betala utvecklare högre priser inte hjälpa avsevärt, forskare säger.
Men forskargruppen fann att ge programmerare särskilda instruktioner för att genomföra ett säkert lösenord storage system som gjorde att ge bättre resultat än att inte säga något alls och sedan väntar utvecklare att tänka på säkerheten av sig själva.
Ändå, utan exakta anvisningar, utvecklare välja vad de “trodde” var ett säkert lösenord storage system, men i verkligheten blev det inte, vilket tyder på att tillsynen från en professionell behövs när man utformar alla typer av säkerhetssystem.
När jag var dev manager, jag använde något liknande som en motion som en del av anställningsprocessen. Minst 90% lagrat lösenord som oformaterad text. Deras siffror är bättre än jag skulle ha gissat.
— Adam Caudill (@adamcaudill) 6 Mars, 2019
Studiens resultat visar tydligt att varje frilansande utvecklare med kunskap om it-säkerhet och bästa praxis varierar vilt från person till person. Detta kan vara föråldrad utbildning eller ingen utbildning alls-ännu en gång göra ett fall mot att använda utvecklare utan it-säkerhet upplevelse för sådana jobb.
Attacker mot krypteringsalgoritmer har lämnats ut till vänster och höger i de två senaste decennierna, och något som en utvecklare kan ha lärt sig i en gammal skola manuell kan inte stå kontroll idag. En bra utgångspunkt för att bättre lösenord praxis är detta OWASP fusklapp.
Mer information om detta University of Bonn studie är tillgängliga i uppsats med titeln “‘Om du vill, jag kan lagra krypterade lösenord.’ Ett Lösenord-Lagring fältstudie med Frilansande Utvecklare.”
Denna studie är en fortsättning av två liknande studier –från och med 2017 och 2018– som används för studenter som försökspersoner, i stället för frilansande utvecklare.
I tidigare studier, elever sade att de skulle ha genomfört säkert lösenord lagring om de skulle skapa kod för ett företag.” Den 2019 studie visade att dagens utvecklare är inte bättre än ensamma studenter.
Mer it-säkerhet rapporter:
Avslöjar Google Chrome zero-day under aktiv attacksNew utnyttja låter angripare att ta kontroll över Windows IoT-Core-enheter
Googles Project Zero avslöjar zero-day macOS sårbarhet för publicWDS bugg gör att hackare kapa Windows-Servrar via felaktigt TFTP packetsMarriott VD aktier efter slakt på förra årets hackCisco berättar Nexus byta ägare för att inaktivera POAP funktionen för säkerhet reasonsDJI åtgärdar säkerhetsproblem som gör att hackare spy på drönare CNETTop 10 appen sårbarheter: Unpatched plugins och tillägg dominera TechRepublic
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter