Più di un quarto di tutti i principali sistemi di gestione dei contenuti (Cms) utilizzare la vecchia e obsoleta di hash MD5 schema predefinito per la protezione e la memorizzazione di password utente.
Alcuni dei progetti che utilizzano MD5 come il metodo di default per la memorizzazione di password utente includono WordPress, osCommerce, SuiteCRM, Simple Machines Forum, miniBB, MyBB, SugarCRM, CMS Made Simple, MantisBT, Phorum, Observium, X3cms, e Composr.
Questo significa che, a meno che i proprietari di siti web modificate queste impostazioni di default modificando il CMS codice sorgente, la maggior parte dei siti web costruito sulla cima di questi Cms mette la password di un utente a rischio nel caso di un hacker che ruba il database del sito.
Studio di default la password hashing schemi
Questa rivelazione è solo una delle tante osservazioni che è venuto fuori di un ampio progetto di ricerca accademica presso l’Università del Pireo, in Grecia.
Accademici esaminato 49 comunemente utilizzato Cms e 47 popolare framework per applicazioni web e guardò la password predefinita meccanismo di stoccaggio, vale a dire la loro password hashing schemi.
L’hashing delle Password è il funzionamento della presa di puro testo fornito dall’utente la password e la conversione in un groviglio apparentemente casuale di caratteri che vengono memorizzati all’interno di un database, senza esporre l’utente password reale.
L’hashing delle Password regimi di solito coinvolgono tre cose: una password funzione di hashing, iterazioni, e un sale di stringa.
Il nucleo parametro di un hash schema è impiegata funzione di hash. Questo è dove termini come MD5, SHA1, SHA256, SHA512, PBKDF2, BCRYPT, SCRYPT, o Argon2 tutti cadere in.
Il secondo è il numero di iterazioni una funzione di hashing viene applicato a un testo non crittografato password. Il più grande iterazioni, più diventa difficile per un utente malintenzionato di invertire l’algoritmo che necessitano di una grande quantità di potenza di calcolo.
Terzo, il sale stringa è un parametro facoltativo di hashing schemi che vengono utilizzati con la funzione di hashing, per produrre più risultati casuali. Quando il sale viene utilizzata la stringa, un utente malintenzionato deve conoscere sia la password e il sale stringa prima di tentare di invertire un hash della password. Questo protegge il database del sito contro la cieca di indovinare la password attacchi, ma non contro le situazioni in cui gli aggressori anche rubare gli utenti’ di sale stringhe.
È a causa di questo attentamente balanved sistema di siti web, web, mobile, e qualsiasi altra applicazione deve utilizzare una password complessa pashing sistema per salvaguardare i dati utente.
Attualmente, debole, sono considerate funzioni di hashing che sono stati già rotto, come MD5 e SHA1, mentre forti sono altamente complessi e sistemi più recenti, come BCRYPT, SCRYPT, e Argon2.
CMS analisi
Ma la realtà è che la maggior parte dei CMS progetti di codificazione e di quadri non sono sempre progettati con la sicurezza in mente.
L’Università del Pireo gruppo di ricerca ha trovato che circa il 60% delle testate CMS utilizzato una debole funzione di hashing (come MD5 o SHA1), o funzioni di hash come SHA256, SHA512, PBKDF2, che “possono essere altamente parallelizzati con hardware GPU, rendendo indovinare la password attacchi più facile.”
Di CMS progetti che hanno usato un MHF (memoria, hard funzione), tutti utilizzati BCRYPT. Questo rappresentava il 40.82%, tra cui grandi nomi come Joomla, phpBB, Vaniglia Forum vBulletin, e SilverStripe.
Nessun CMS progetto utilizzato SCRYPT o Argon2. Il team di ricerca ha sostenuto che il motivo per cui nessuno ha usato SCRYPT è stato perché non c’era nativa di PHP library disponibile, il che significa che la maggior parte dei CMS progetti, che sono codificati con PHP — non riusciva a sostenere nel loro codice.
Secondo, Argon2 solo di recente è stato aggiunto in PHP versione 7.2, e potrebbe volerci un po ‘ prima di guadagni di adozione, come più server spostare dalla vecchia versione di PHP 5.x ramo più recente 7.x.
Immagine: Ntantogian et al.
Inoltre, l’utilizzo di sale non era al 100% diffusa come ci si potrebbe aspettare. Per il team di ricerca, 14,29% del Cms testati non sale il loro hash schema, lasciando gli utenti vulnerabili a rainbow table attacchi.
Ancora peggio, un grande pezzo, 36.73% del Cms testati non impiegare iterazioni per la funzione di hashing, il che significa che il costo di rottura (cracking) password utenti sarebbe probabilmente essere un piccolo.
Inoltre, 38.78% del Cms testati non ha imposto una lunghezza minima della password di politica, che avrebbe come conseguenza gli utenti che hanno selezionato le password deboli.
Consentendo agli utenti di selezionare le password deboli nega l’effetto dell’utilizzo di forte hashing della password schemi, come gli hacker possono utilizzare di base dizionario attacchi contro un sito modulo di login di indovinare la password, senza mai entrare in possesso di un hash della password per crack.
In particolare, in questa categoria ci sono alcuni piuttosto grandi nomi, come WordPress e Drupal, entrambi attualmente consentire di caratteri password.
Analisi del quadro
Ma CMS progetti, che forniscono un’interfaccia visiva per la costruzione di siti web, non erano gli unici testati per questa ricerca.
Così sono stati framework per applicazioni web, che forniscono il codice sorgente delle librerie più siti web personalizzati può essere costruito, ma senza l’aiuto di una interfaccia di backend del pannello.
“23.40% del framework per applicazioni web optare per deboli (cioè, possibile parallelizzare) funzioni di hash, mentre 12.77% di loro non usano iterazioni,” il team di ricerca ha detto.
“Che cosa è più, a soli 27.66% usa il BCRYPT funzione di hash per impostazione predefinita. Simili a CMS e di osservazione 2, SCRYPT e Argon2 sono assenti le impostazioni di default.”
Inoltre, a differenza di CMS progetti, dove una password di default di hashing schema è selezionato per il proprietario del sito web per impostazione predefinita) — in caso contrario il CMS non funzionare correttamente — codifica quadri non hanno una password di default di hashing schema selezionato, e lasciare questo per lo sviluppatore.
“48.94% di indagati framework per applicazioni web non offrono una password di default di hashing schema, che potrebbe portare alla scelta di una password debole di hashing regime di web applications”, hanno detto i ricercatori.
Immagine: Ntantogian et al.
Le conclusioni di questo progetto di ricerca sono abbastanza facili da vedere solo guardando i numeri. La maggior parte dei Cms e framework per applicazioni web non forniscono i valori predefiniti che sono abbastanza sicuro.
Poiché non tutti i CMS utenti sono programmatori, questo si tradurrà in siti web a cui memorizzare le password utente e superati hashing della password schemi, mettendo i dati utente a rischio.
Normalmente, si potrebbe pensare che framework per applicazioni web sarebbe meglio numeri, e migliorare le condizioni di sicurezza dal momento che i programmatori sono gli unici in grado di utilizzare questi strumenti.
Tuttavia, lasciando la scelta di una password sicura di hashing schema per i programmatori è anche una cattiva decisione — secondo un altro studio, effettuato dall’Università di Bonn, in Germania, e pubblicato nel Marzo di quest’anno.
Lo studio ha mostrato che i programmatori spesso prendere la via più facile e di non implementare la corretta password di sicurezza, scegliendo debole di hashing della password schemi, e saltare su di attuazione password salatura.
Tutto in tutti, il greco ricercatori sostengono che CMS progetti e framework per applicazioni web dovrebbe venire con forti valori di default per l’hashing della password regime, e consentono agli sviluppatori di effettuare il downgrade in caso di problemi tecnici.
Ulteriori dettagli sui Università del Pireo di ricerca sono disponibili in un white paper denominato “Valutazione di hashing della password schemi open source per piattaforme web.”
Relative cybersecurity copertura:
Germania: Backdoor disponibile in quattro modelli di smartphone; 20.000 utenti infectedGoogle si espande Android built-in chiave di sicurezza per iOS devicesFor due ore, un grande pezzo di mobili Europei il traffico è stato deviato attraverso ChinaAncient ICEFOG APT malware avvistata di nuovo in nuova ondata di attacksCBP dice che gli hacker hanno rubato la targa e viaggiatori’ photosTwo terzi di iOS apps disattivare ATS, un iOS funzionalità di sicurezza di iOS, gli sviluppatori ancora non riuscendo a costruire end-to-end encryption in applicazioni TechRepublicI migliori furto di identità servizi di monitoraggio per il 2019 CNET
Argomenti Correlati:
Open Source
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati