Freelance udviklere behøver at være eksplicit bedt om at skrive kode, der gemmer adgangskoder på en sikker og forsvarlig måde, en nylig undersøgelse har afsløret.
I et eksperiment, der involverede 43 programmører ansat via Freelancer.com platform, University of Bonn akademikere har opdaget, at udviklere har en tendens til at tage den nemme vej ud og skrive kode, der gemmer brugerens kodeord på en usikker måde.
For deres undersøgelse, den tyske akademikere bedt en gruppe af 260 Java-programmører at skrive et bruger system til registrering af en falsk sociale netværk.
Af de 260 udviklere, kun 43 tog job, der er involveret ved hjælp af teknologier som Java, JSF, Hibernate, og PostgreSQL for at oprette bruger registrering komponent.
Af de 43, akademikere betalt halvdelen af gruppen med €100, og den anden halvdel med €200, til at afgøre, om en højere løn, har gjort en forskel i gennemførelsen af password-sikkerhed funktioner.
Yderligere, de delte gruppen udvikler en anden gang, hvilket fik halvdelen af udviklerne til at gemme adgangskoder på en sikker måde, og bruge den anden halvdel til at gemme adgangskoder i deres foretrukne metode-dermed danner fire kvartaler af udviklere, der er betalt på €100, og du bliver bedt om at bruge en sikker adgangskode opbevaring metode (P100), udviklere betalt €200, og du bliver bedt om at bruge en sikker adgangskode opbevaring metode (P200), devs betalt €100, men ikke bedt om at angive adgangskode, sikkerhed (N100), og der betales €200, men ikke bedt om at angive adgangskode, sikkerhed (N200).
Billede: Naiakshina et al.
Forskerne sagde, at udviklere tog tre dage til at indsende deres arbejde, og at de var nødt til at spørge 18 af 43 for at sende deres kode til at omfatte et password sikkerhed system, når de først har sendt et projekt, der er gemt passwords i klartekst.
Af de 18, der var nødt til at sende deres kode, 15 udviklere var en del af den gruppe, der aldrig blev fortalt brugerregistrering system er nødvendig for at gemme adgangskoden sikkert, der viser, at udviklere behøver i sagens natur ikke tænke på sikkerhed, når du skriver kode.
Billede: Naiakshina et al.
De tre andre var af den halvdel, der fik at vide, at brug en sikker metode til at gemme adgangskoder, men der er gemt passwords i klartekst alligevel.
Billede: Naiakshina et al.
Resultaterne viser, at niveauet af forståelse af, hvad “sikre adgangskoder” betyder, adskiller sig i høj grad i web-udvikling samfund.
Af sikker adgangskode, storage-systemer udviklere har valgt at gennemføre denne undersøgelse, er det kun de to sidste, SHA-256, og Bcrypt, anses for sikre.
8 – Base64
10 – MD5
1 – SHA-1
3 – 3DES
3 – AES
5 – PBKDF2
1 – HMAC – /SHA1
5 – SHA-256
7 – Bcrypt
Den første, Base64, er ikke engang en krypteringsalgoritme, men en kodning funktion, noget, som de deltagende udviklere ikke synes at vide. På tilsvarende måde til MD5, som er en hashing funktion.
“Mange deltagere, der anvendes kryptering, hashing og som synonymer,” det team af akademikere sagde i deres forskning papir.
“Ud af de 18 deltagere, der modtog ekstra sikkerhed anmodning, 3 besluttet at bruge Base64, og gjorde gældende, for eksempel: “[jeg] krypteret det så klart password er ikke synlig’ og ‘Det er meget svært at dekryptere’,” forsker sagde: –at fremhæve, at nogle deltagere i studiet vidste ikke, at den grundlæggende forskel mellem en krypteringsalgoritme og en funktion, der bare jumbles tegn rundt omkring.
Det er desuden kun 15 af de 43 udviklerne valgte at gennemføre saltning, en proces, hvorigennem den krypterede adgangskode, som er gemt inde i en applikation databasen er sværere at bryde med tillæg af tilfældige data faktor.
Undersøgelsen fandt også, at 17 af de 43 udviklere kopieret deres kode fra internet-sites, hvilket tyder på, at freelancere, der ikke har de nødvendige kompetencer til at udvikle et sikkert system fra bunden, og valgte at bruge kode, der kan være forældet eller endda fyldt med bugs.
At betale udviklere højere priser ikke hjælpe betydeligt, siger forskerne.
Men forskerholdet fandt, at give programmører specifikke instruktioner for at gennemføre en sikker adgangskode, storage-system, fordi vi ikke giver bedre resultater end ikke at sige noget som helst, og derefter forventer udviklerne til at tænke på sikkerhed i sig selv.
Ikke desto mindre, uden præcise instruktioner, udviklere vælge, hvad de “troede” var et sikkert password storage system, men i virkeligheden, var det ikke, hvilket tyder på, at tilsyn fra en professionel, er nødvendig, når designe nogen form for sikkerhed system.
Da jeg var en dev-manager, har jeg brugt noget der ligner, som en øvelse, som en del af ansættelsesforløbet. Mindst 90%, der er gemt adgangskode som almindelig tekst. Deres tal er bedre, end jeg ville have gættet.
— Adam Caudill (@adamcaudill) 6 Marts 2019
Undersøgelsens resultater viser klart, at hver freelance udvikler viden om cyber-sikkerhed, bedste praksis varierer meget fra person til person. Dette kan være forældet uddannelse eller slet ingen uddannelse overhovedet –men igen gøre en sag imod at bruge udviklere uden cyber-sikkerhed erfaring inden for dette job.
Angreb mod krypteringsalgoritmer er blevet videregivet til venstre og højre i de sidste to årtier, og noget, som en udvikler kan have lært i en forældet skole manual kan ikke stå kontrol i dag. Et godt udgangspunkt for et bedre password praksis er dette OWASP cheat sheet.
Flere detaljer om denne University of Bonn undersøgelse er tilgængelige i forskning papir med titlen “Hvis du vil, kan jeg gemme krypterede password.’ En Password-Opbevaring feltstudie med Freelance Udviklere.”
Denne undersøgelse er en fortsættelse af to tilsvarende undersøgelser-fra 2017 og 2018,– der anvendes studerende som individer, i stedet for freelance udviklere.
I de tidligere undersøgelser, studerende sagde, at de ville have gennemført secure password storage, hvis de var at skabe kode for et firma.” Den 2019 undersøgelse viste, at de nuværende udviklere, der er ikke noget bedre end at være alene. – studerende.
Flere cyber-sikkerhed rapporter:
Google lancerer Chrome nul-dag under aktiv attacksNew udnytte lader angribere tage kontrol over Windows IoT-Core-enheder
Google ‘ s Project Zero afslører nul-dag macOS sårbarhed over for publicWDS fejl lader hackere kapre Windows-Servere via misdannet TFTP packetsMarriott CEO aktier post-mortem på sidste års hackCisco fortæller Nexus skifte ejere til at deaktivere POAP funktionen for sikkerhed reasonsDJI rettelser svaghed, at lade potentielle hackere spion på droner CNETTop 10 app sårbarheder: Unpatched plugins og udvidelser dominere TechRepublic
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre