Meer dan een kwart van alle grote content management systemen (Cms ‘ en) het gebruik van het oude en verouderde MD5-hashing-regeling als de standaard voor het beveiligen en het opslaan van de wachtwoorden van de gebruiker.
Een aantal van de projecten die gebruik MD5 als de standaard methode voor het opslaan van de wachtwoorden van de gebruiker zijn WordPress, osCommerce, SuiteCRM, Simple Machines Forum, miniBB, MyBB, SugarCRM, CMS Made Simple, MantisBT, Phorum, Observium, X3cms, en Composr.
Dit betekent dat, tenzij website-eigenaren veranderd deze standaard instellingen wijzigen door het wijzigen van de CMS-source code, de meeste websites gebouwd op de top van deze Cms ‘ en stelt de gebruiker wachtwoorden in gevaar zijn in het geval een hacker steelt de site van de database.
Studie op standaard wachtwoord hashing regelingen
Deze openbaring is slechts één van de vele waarnemingen die kwam van een uitgebreid wetenschappelijk onderzoek project aan de Universiteit van Piraeus in Griekenland.
Wetenschappers onderzocht 49 gebruikte Cms ‘ en 47 populaire web applicatie frameworks en keek naar hun standaard wachtwoord opslag mechanisme, namelijk hun wachtwoord hashing regelingen.
Wachtwoord hashing is de werking van het nemen van een leesbare tekst door gebruiker verstrekte wachtwoord en omzetten in een wirwar van schijnbaar willekeurige tekens die zijn opgeslagen in een database, zonder dat de gebruiker het echte wachtwoord.
Wachtwoord hashing regelingen hebben meestal betrekking op drie dingen: een wachtwoord hash-functie, iteraties, en een zout-string.
De kern parameter van een hashing-regeling is de werknemer hash-functie. Dit is waar termen als MD5, SHA1, SHA256, SHA512, PBKDF2, BCRYPT, SCRYPT, of Argon2 vallen allemaal in.
Ten tweede is het aantal iteraties van een hashing-functie wordt toegepast om een wachtwoord in leesbare vorm. Hoe groter de iteraties, des te moeilijker het is voor een aanvaller om het omkeren van het algoritme door te vereisen dat een grote hoeveelheid rekenkracht.
Ten derde, het zout string is een optionele parameter in hashing regelingen die worden gebruikt in combinatie met de hash-functie voor het produceren van nog meer willekeurige resultaten. Wanneer een zout-reeks wordt gebruikt, moet een aanvaller weet het wachtwoord en het zout string, voordat u probeert om het terugdraaien van een versleuteld wachtwoord. Dit beschermt site databases tegen blinde wachtwoord-raden aanvallen, maar niet tegen situaties waar de aanvallers ook stelen van gebruikers’ zout snaren.
Het is vanwege deze zorgvuldig balanved systeem, het maken van websites, web -, mobiele en andere toepassingen moet een sterk wachtwoord gebruiken pashing systeem te beschermen gegevens van de gebruiker.
Momenteel zwak worden beschouwd als hash-functies die zijn al gebroken, zoals MD5 en SHA1, terwijl de sterke zijn zeer complex en nieuwere systemen zoals BCRYPT, SCRYPT, en Argon2.
CMS-analyse
Maar de realiteit is dat de meeste CMS-projecten en de codering van frameworks zijn niet altijd ontworpen met veiligheid in het achterhoofd.
De Universiteit van Piraeus onderzoeksteam ontdekte dat bijna 60% van de geteste CMS gebruikt een zwakke hash-functie (zoals MD5 of SHA1), of hash-functies zoals SHA256, SHA512, PBKDF2, die “zeer parallelized met GPU hardware, het maken van password guessing aanvallen makkelijker.”
Van de CMS-projecten, die een MHF (geheugen vaste functie), alle gebruikte BCRYPT. Dit was goed voor 40.82%, met grote namen zoals Joomla, phpBB, Vanille Forums, vBulletin, en SilverStripe.
Geen CMS-project gebruikt SCRYPT of Argon2. Het onderzoeksteam stelde dat de reden dat niemand gebruikt SCRYPT was, want er was geen native PHP library beschikbaar, wat betekent dat de meeste CMS-projecten, die veroorzaakt worden meestal gecodeerd in PHP — niet kon ondersteunen in hun code.
Ten tweede, Argon2 was pas onlangs toegevoegd in de PHP 7.2 release, en het duurt een tijdje voordat de winsten wijdverspreide goedkeuring, als meer servers verplaatsen van de oudere PHP 5.x tak naar de nieuwere 7.x.
Afbeelding: Ntantogian et al.
Daarnaast is het gebruik van zout was niet 100% wijdverbreid als men zou verwachten. Volgens het onderzoeksteam, 14,29% van de geteste Cms ‘ en niet zout hun hash-regeling, waardoor gebruikers kwetsbaar voor rainbow tabel aanvallen.
Erger nog, een grotere brok, 36.73% van de geteste Cms ‘ en niet in dienst iteraties voor de hash-functie, wat inhoudt dat de kosten van het breken (kraken) gebruikers wachtwoorden zou waarschijnlijk een kleine.
Bovendien 38.78% van de geteste Cms ‘ en niet afdwingen met een minimum wachtwoord lengte beleid, die het gevolg zou zijn gebruikers selecteren van zwakke wachtwoorden.
Zodat gebruikers zwakke wachtwoorden ontkent het effect van het gebruik van een sterk wachtwoord hashing regelingen, zoals aanvallers kunnen gebruik maken van basic dictionary-aanvallen tegen een site aanmelden vorm te raden wachtwoord, zonder in het bezit komen van een versleuteld wachtwoord te kraken.
Met name in deze categorie hebben we een aantal behoorlijk grote namen, zoals WordPress en Drupal, die beide op dit moment staan voor een-teken-van lange wachtwoorden.
Kader voor analyse
Maar de CMS-projecten, die zorgen voor een visuele interface voor het maken van websites, het waren niet de enigen die getest zijn voor dit onderzoek.
Zo waren de web application frameworks, die de broncode verschaffen bibliotheken die meer maatwerk websites kunnen worden gebouwd, maar zonder de steun van een GUI-en backend-paneel.
“23.40% van de web applicatie frameworks kiezen voor de zwakke (i.e., parallelizable) hash-functies, terwijl 12.77% van hen gebruik geen iteraties,” het onderzoeksteam zei.
“Wat is meer, alleen 27.66% gebruik van de BCRYPT hash-functie standaard. Vergelijkbaar met CMS en observatie 2, SCRYPT en Argon2 afwezig zijn van de standaardinstellingen.”
Bovendien, in tegenstelling tot de CMS-projecten, waar een standaard wachtwoord hash-regeling is gekozen voor de eigenaar van de website standaard — anders is het CMS niet goed uitvoeren — sommige codering van frameworks niet hebben van een standaard wachtwoord hash-regeling geselecteerd, en laat dit aan de ontwikkelaar.
“48.94% van de onderzochte web application frameworks bieden geen standaard wachtwoord hashing regeling, die kan leiden tot de selectie van een zwak wachtwoord hashing regeling in web-applicaties,” de onderzoekers gezegd.
Afbeelding: Ntantogian et al.
De conclusies van dit onderzoek zijn heel gemakkelijk om te zien door te kijken naar de cijfers. De meeste Cms ‘ en en web application frameworks bieden niet standaard die veilig genoeg is.
Aangezien niet alle CMS-gebruikers zijn programmeurs, dit resulteert in websites die het opslaan van wachtwoorden van gebruikers met verouderde wachtwoord hashing regelingen, waardoor gebruikers-gegevens in gevaar.
Normaal gesproken, zou men kunnen denken dat de web applicatie frameworks zou hebben betere nummers, en een betere beveiliging houding sinds programmeurs zijn de enigen die in staat is van het gebruik van deze tools.
Echter, het verlaten van de selectie van een veilig wachtwoord hashing regeling voor programmeurs is er ook een slechte beslissing — volgens een andere studie, uitgevoerd door de Universiteit van Bonn in Duitsland, en gepubliceerd in Maart van dit jaar.
De studie toonde aan dat programmeurs vaak gemakkelijk en implementeren juiste wachtwoord beveiliging, het kiezen van een zwak wachtwoord hashing-regelingen, en het overslaan op de uitvoering van het wachtwoord van zouten.
Al met al, de griekse onderzoekers stellen dat CMS projecten en web application frameworks moet komen met sterke standaardwaarden voor de wachtwoord hash-regeling, en laat ontwikkelaars downgrade in geval van technische problemen.
Meer informatie over de Universiteit van Piraeus onderzoek zijn beschikbaar in een white paper genaamd “de Evaluatie van de wachtwoord hash-programma’ s in open source web-platformen.”
Verwante cybersecurity dekking:
Duitsland: Backdoor gevonden in vier smartphone modellen; 20.000 gebruikers infectedGoogle breidt Android ‘ s ingebouwde beveiliging sleutel tot iOS devicesFor twee uur, een groot deel van het Europese gsm-verkeer werd omgeleid via ChinaAncient ICEFOG APT malware gespot weer in nieuwe golf van attacksCBP zegt hackers gestolen nummerplaat en reizigers photosTwo derde van de iOS-apps uitschakelen ATS, een iOS-beveiliging zijn voorzien van iOS-ontwikkelaars nog steeds niet in slagen om te bouwen end-to-end encryptie in apps TechRepublicDe beste diefstal van identiteit monitoring diensten voor 2019 CNET
Verwante Onderwerpen:
Open Source
Beveiliging TV
Data Management
CXO
Datacenters