Freelance ontwikkelaars moeten expliciet om code te schrijven die slaat wachtwoorden op een veilige manier, een recente studie heeft geopenbaard.
In een experiment dat de betrokken 43 programmeurs ingehuurd via de Freelancer.com platform van de Universiteit van Bonn wetenschappers hebben ontdekt dat de ontwikkelaars hebben de neiging om de makkelijkste weg te kiezen en de code schrijven die slaat de wachtwoorden op een onveilige manier.
Voor hun studie, de duitse academici vroeg een groep van 260 Java programmeurs voor het schrijven van een gebruiker een systeem voor de registratie van een valse sociale netwerk.
Van de 260 ontwikkelaars, slechts 43 nam de taak, die met behulp van technologieën zoals Java, JSF, Hibernate, en PostgreSQL te maken van de gebruiker registratie component.
Van de 43, academici betaald de helft van de groep met €100, – en de andere helft met €200, om te bepalen of hoger betalen een verschil hebben gemaakt in de uitvoering van wachtwoord beveiliging.
Verder, ze verdeelden de ontwikkelaar groep een tweede tijd, waarin de helft van de ontwikkelaars voor het opslaan van wachtwoorden op een veilige manier, en laat de andere helft voor het opslaan van wachtwoorden in hun voorkeur –vandaar de vorming van vier kwartalen van ontwikkelaars betaald €100 en wordt gevraagd voor het gebruik van een veilig wachtwoord opslag methode (P100), ontwikkelaars betaald van €200 gevraagd voor het gebruik van een veilig wachtwoord opslag methode (P200), devs betaald €100 maar niet gevraagd om het wacht woord beveiliging (N100), en wie betaald de €200, maar niet gevraagd om het wacht woord beveiliging (N200).
Afbeelding: Naiakshina et al.
Onderzoekers zeiden dat ontwikkelaars het duurde drie dagen voor het indienen van hun werk, en dat ze moest vragen 18 van de 43 opnieuw hun code voorzien van een wachtwoord beveiliging systeem als ze voor het eerst stuurde een project dat opgeslagen wachtwoorden in leesbare tekst.
Van de 18 die moesten opnieuw hun code, 15 ontwikkelaars deel uit van de groep die nooit werden verteld de gebruiker een systeem voor de registratie nodig is voor het opslaan van het wachtwoord op een veilige, waaruit blijkt dat ontwikkelaars niet inherent denken over de veiligheid bij het schrijven van code.
Afbeelding: Naiakshina et al.
De andere drie waren van de helft die werd verteld om te gebruiken een veilige methode voor het opslaan van wachtwoorden, maar die opgeslagen wachtwoorden in plaintext toch.
Afbeelding: Naiakshina et al.
De resultaten tonen aan dat de mate van begrip van wat “veilige wachtwoorden” bedoel verschilt sterk in de ontwikkeling van het web-gemeenschap.
Van de secure password storage systemen ontwikkelaars ervoor gekozen te voeren voor dit onderzoek zijn alleen de laatste twee, SHA-256 en Bcrypt, worden beschouwd als veilig.
8 – Base64
10 – MD5
1 – SHA-1
3 – 3DES
3 – AES
5 – PBKDF2
1 – HMAC/SHA1
5 – SHA-256
7 – Bcrypt
De eerste, Base64, is niet eens een encryptie-algoritme, maar een codering functie, iets dat de deelnemende ontwikkelaars lijken niet te weten. Ook voor MD5, dat is een hash-functie.
“Veel deelnemers gebruikte hashing en encryptie als synoniemen,” het team van academici zei in hun onderzoek op papier.
“Van de 18 deelnemers die het ontvangen van extra beveiliging verzoek, 3 besloten om gebruik Base64-en aangevoerd, bijvoorbeeld: ‘[ik] gecodeerd zodat het duidelijk wachtwoord is niet zichtbaar’ en ‘Het is zeer moeilijk te ontcijferen’,” onderzoeker zei: –benadrukken dat enige studie de deelnemers niet weten wat de fundamentele verschil tussen een encryptie-algoritme en een functie die slechts vermengt personages rond.
Bovendien, op slechts 15 van de 43 ontwikkelaars ervoor gekozen om het implementeren van zouten, een proces waarbij het versleutelde wachtwoord opgeslagen in een applicatie de database is gemaakt moeilijker te kraken met de toevoeging van een random data factor.
De studie vond ook dat 17 van de 43-ontwikkelaars gekopieerd hun code van internet sites, wat suggereert dat de freelancers niet de vaardigheden die nodig zijn voor het ontwikkelen van een veilige systeem vanaf nul, en koos voor het gebruik van code die kan worden achterhaald of zelfs vol met bugs.
Betalen ontwikkelaars hogere tarieven niet helpen aanzienlijk, onderzoekers gezegd.
Echter, het onderzoeksteam vond dat het geven van programmeurs specifieke instructies voor de uitvoering van een veilig wachtwoord opslag systeem tot betere resultaten leidt dan niet te zeggen helemaal niets-en dan verwachten de ontwikkelaars te denken van veiligheid door zichzelf.
Niettemin, zonder nauwkeurige instructies, ontwikkelaars kiezen wat ze “geloofde” was een veilig wachtwoord opslag systeem, maar in werkelijkheid was het niet, wat suggereert dat het toezicht van een professional nodig bij het ontwerpen van elke vorm van beveiliging systeem.
Toen ik een dev manager, heb ik iets vergelijkbaars als een oefening als onderdeel van de sollicitatieprocedure. Ten minste 90% het wachtwoord opgeslagen als platte tekst. Hun nummers zijn beter dan ik dacht.
— Adam Caudill (@adamcaudill) 6 Maart 2019
De onderzoeksresultaten laten duidelijk zien dat elke freelance ontwikkelaar kennis van cyber-security best practices varieert wild van persoon tot persoon. Dit kan verouderde opleiding of helemaal geen opleiding –toch weer een zaak tegen het gebruik van ontwikkelaars zonder cyber-security-ervaring voor dergelijke jobs.
Aanvallen tegen encryptie-algoritmen zijn verstrekt, links en rechts in de afgelopen twee decennia, en iets dat een ontwikkelaar zou hebben geleerd in een verouderde school handleiding worden beschreven, kan niet tegen toetsing van vandaag. Een goed uitgangspunt voor een betere wachtwoord praktijken is dit OWASP cheat sheet.
Meer details over deze Universiteit van Bonn studie zijn beschikbaar in de research paper getiteld “‘Als u wilt, kan ik bewaar het versleutelde wachtwoord.’ Een Wachtwoord-Opslag Veld van Studie met Freelance Ontwikkelaars.”
Deze studie is een voortzetting van twee vergelijkbare studies –vanaf 2017 en 2018– dat gebruikt studenten als proefpersonen, in plaats van freelance ontwikkelaars.
In de vorige studies, studenten zeiden dat ze zouden hebben uitgevoerd veilig wachtwoord te bewaren als ze aan het maken waren code voor een bedrijf.” De 2019 studie toonde aan dat de huidige ontwikkelaars zijn niet beter dan zonder toezicht studenten.
Meer cyber-security-rapporten:
Google onthult Chrome zero-day onder actieve attacksNew benutten kunt aanvallers neem de controle van Windows Ivd-Core-apparaten
Google ‘ s Project Zero onthult zero-day macOS de kwetsbaarheid van de publicWDS bug kunt hackers kapen Windows-Servers via ongeldige TFTP packetsMarriott CEO aandelen post-mortem van vorig jaar hackCisco vertelt Nexus switch eigenaren uitschakelen POAP functie voor de veiligheid reasonsDJI correcties kwetsbaarheid waarmee potentiële hackers spy drones op CNETTop 10 app kwetsbaarheden: Ongepatchte plug-ins en extensies domineren TechRepublic
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters