Över en fjärdedel av alla större content management system (Cms) använda den gamla och föråldrade MD5 hash-system som standard för att säkra och lagra användarnas lösenord.
Några av de projekt som använder MD5 som standard metod för att lagra användarnas lösenord är WordPress, osCommerce, SuiteCRM, Simple Machines Forum, miniBB, MyBB, SugarCRM, CMS Made Simple, MantisBT, Phorum, Observium, X3cms, och Composr.
Detta innebär att om webbplatsägare ändrat dessa förvalda inställningar genom att ändra CMS källkod, de flesta webbplatser byggda på toppen av dessa Cms sätter lösenord på risk i det fallet att en hackare stjäl webbplatsens databas.
Studera på standard hashning system
Denna uppenbarelse är bara en av de många synpunkter som kom ut för en omfattande akademisk forskning vid Universitetet i Pireus i Grekland.
Akademiker granskat 49 vanligaste Cms och 47 populära ramverk för webbapplikationer och tittade på deras standardlösenordet mekanism, nämligen deras hashning system.
Hashning är driften av med en vanlig användare-förutsatt att lösenord och omvandla den till ett virrvarr av till synes slumpmässiga tecken som lagras i en databas, utan att utsätta användarnas lösenord.
Hashning system brukar innebära tre saker: ett lösenord hash-funktion, iterationer, och en salt sträng.
Den grundläggande parametern av en hash-system är anställd hash-funktion. Det är där termer som MD5, SHA1, SHA256, SHA512, PBKDF2, BCRYPT, SCRYPT, eller Argon2 alla att falla i.
För det andra är antalet iterationer en hash-funktion som används för en lösenordet i klartext. Ju större iterationer, desto svårare blir det för en angripare att vända den algoritmen genom att kräva en stor mängd datorkraft.
För det tredje, salt string är en valfri parameter i hash-system som används tillsammans med hash-funktion för att producera ännu mer slumpmässiga resultat. När ett salt string används, för en angripare måste veta både lösenord och salt sträng innan du försöker vända en del av lösenordet. Denna webbplats skyddar mot databaser blind gissa lösenord attacker, men inte mot situationer där angripare också stjäla användares salt strängar.
Det är på grund av detta noggrant balanved system som hemsidor, webb, mobil, och alla andra program måste använda ett starkt lösenord pashing system för att skydda användardata.
För närvarande svag anses hash-funktioner som redan är trasiga, som MD5 och SHA1, medan starka är mycket komplexa och nyare system som BCRYPT, SCRYPT, och Argon2.
CMS-analys
Men verkligheten är att de flesta CMS-projekt och kodning ramar som inte alltid är utformade med tanke på säkerhet.
Universitetet i Piraeus forskargrupp fann att nästan 60% av de testade CMS används en svag hash-funktion (som MD5 eller SHA1), eller hash-funktioner som SHA256, SHA512, PBKDF2, som “kan vara mycket parallelized med GPU hårdvara, vilket gör att gissa lösenord attacker lättare.”
CMS-projekt som använt en MHF (minne hårt funktion), alla används för BCRYPT. Detta stod för 40.82%, inklusive stora namn som Joomla, phpBB, Vanilj Forum, vBulletin, och SilverStripe.
Ingen CMS-projektet använde SCRYPT eller Argon2. Forskargruppen har hävdat att anledningen till att ingen som används SCRYPT var att det var ingen infödd PHP-bibliotek som finns tillgängliga, vilket innebär att de flesta CMS-projekt-som är kodade främst i PHP-kunde inte stöd för det i sin kod.
För det andra, Argon2 var bara nyligen har lagt till i PHP 7,2 release, och det kan ta ett tag innan det av utbredd, eftersom fler servrar flytta från äldre PHP 5.x filial till nyare 7.x.
Bild: Ntantogian et al.
Dessutom har användningen av salt var inte 100% utbredd som man kan förvänta sig. Per den forskning team, 14,29% av de testade CMSs inte salt deras hash-systemet, vilket gör att användarna utsatta för rainbow table attacker.
Ännu värre, en större bit, 36.73% av de testade CMSs inte anställa iterationer för hash-funktion, vilket innebär att kostnaden för att bryta (sprickbildning) användare lösenord skulle sannolikt vara en liten en.
Dessutom, 38.78% av de testade CMSs inte tillämpa en minsta längd för lösenord politik, vilket skulle resultera i att användarna välja svaga lösenord.
Tillåter användare att välja svaga lösenord förnekar effekten av att använda starka lösenord hash-systemen, som en angripare kan använda grundläggande ordlista attacker mot en webbplats inloggningsformuläret att gissa lösenordet utan att någonsin behöva få tag på en del lösenord att knäcka det.
Särskilt i denna kategori har vi några ganska stora namn, såsom WordPress och Drupal, som båda för närvarande gör det möjligt för ett tecken långa lösenord.
Ram analys
Men CMS-projekt, som ger ett visuellt gränssnitt för att bygga webbplatser, inte var de enda som testas för denna forskning.
Så var ramverk för webbapplikationer, som ger källkod bibliotek som mer anpassade webbplatser kan byggas, men utan hjälp av ett GRAFISKT gränssnitt och backend-panelen.
“23.40% av ramverk för webbapplikationer välja för svag (dvs, parallelizable) hash-funktioner, medan 12.77% av dem inte använder iterationer,” forskning laget sa.
“Vad är mer, bara 27.66% använder BCRYPT hash-funktion som standard. Liknande CMS och observation 2, SCRYPT och Argon2 är frånvarande från standardinställningarna.”
Dessutom, till skillnad från CMS-projekt, där en standard hashning av lösenord systemet är valt för webbplatsen ägaren som standard — annars CMS kommer inte att köra på rätt sätt-en del kodning ramar som inte har en standard hashning system som valts, och lämna detta till utvecklare.
“48.94% av de undersökta ramverk för webbapplikationer erbjuder inte en standard hashning av lösenord systemet, vilket kan leda till att valet av en svag hashning system i webb-program,” forskarna säger.
Bild: Ntantogian et al.
Slutsatserna av detta forskningsprojekt är ganska lätt att se bara genom att titta på siffrorna. De flesta Cms och ramverk för webbapplikationer inte ger förvalda värden som är säkra nog.
Eftersom inte alla CMS-användare är programmerare, detta kommer att resultera i att webbplatser att lagra användarnas lösenord med hjälp av föråldrade hashning system, sätta användardata i riskzonen.
Normalt kan man tycka att ramverk för webbapplikationer skulle ha bättre siffror, och en bättre säkerhet hållning eftersom programmerare är de enda som klarar av att använda dessa verktyg.
Men om du lämnar valet av ett säkert lösenord hash-system för att programmerare är också ett dåligt beslut-enligt en annan studie, utförd av Universitetet i Bonn i Tyskland, och som publicerades i Mars i år.
Studien visade att programmerare ofta tar den enkla vägen och inte genomföra korrekt lösenord säkerhet, välja svag hashning system, och hoppa på att genomföra lösenord saltning.
Allt som allt, den grekiska forskare hävdar att CMS-projekt och ramverk för webbapplikationer bör komma med ett starkt standardinställningar för hashning av lösenord systemet, och låta utvecklare nedgradera i händelse av tekniska problem.
Mer detaljer om Pireus Universitet forskning är tillgängliga i ett vitt papper som heter “Utvärdering av hashning system i open source-plattformar.”
Relaterade it-säkerhet täckning:
Tyskland: Bakdörr finns i fyra smartphone-modeller, 20,000 användare infectedGoogle expanderar androids inbyggda säkerhet nyckeln till iOS devicesFor två timmar, en stor del av den mobila trafiken omdirigeras via ChinaAncient ICEFOG APT malware upptäckt igen i ny våg av attacksCBP säger hackare stal registreringsskylt och resenärernas photosTwo tredjedelar av iOS-appar inaktivera ATS, en iOS-säkerhet-funktionen iOS utvecklare fortfarande inte att bygga end-to-end-kryptering i apps TechRepublicDe bästa identitetsstöld bevakningstjänster för 2019 CNET
Relaterade Ämnen:
Öppen Källkod
Säkerhet-TV
Hantering Av Data
CXO
Datacenter