Sviluppatori Freelance ha bisogno di essere esplicitamente detto di scrivere il codice che memorizza le password in modo sicuro, un recente studio ha rivelato.
In un esperimento che ha coinvolto 43 programmatori assunti tramite l’Freelancer.com la piattaforma, Università di Bonn studiosi hanno scoperto che gli sviluppatori tendono a prendere la via più facile e di scrivere il codice che memorizza la password di un utente in modo non sicuro.
Per il loro studio, il tedesco accademici chiesto a un gruppo di 260 programmatori Java per scrivere un utente di sistema di registrazione per un falso social network.
Di 260 sviluppatori, solo il 43 prese il posto di lavoro, che ha coinvolto l’utilizzo di tecnologie quali Java, JSF, Hibernate, e PostgreSQL per creare l’utente componente di registrazione.
43, accademici pagato la metà del gruppo con €100, e l’altra metà con €200, per determinare se è superiore pagare la differenza e ‘ nell’attuazione della password di caratteristiche di sicurezza.
Ulteriormente, hanno diviso il gruppo di sviluppo un secondo tempo, spingendo la metà degli sviluppatori per memorizzare le password in modo sicuro, e lasciando l’altra metà per memorizzare le password in loro metodo preferito –quindi formando quattro quarti di sviluppatori pagato 100 €e viene richiesto di utilizzare un sicuro metodo di memorizzazione delle password (P100), gli sviluppatori pagato 200 €e viene richiesto di utilizzare un sicuro metodo di memorizzazione delle password (P200), devs pagato 100€, ma non verrà chiesto di immettere la password di protezione (N100), e quelli pagati 200 euro, ma non viene chiesta la password di protezione (N200).
Immagine: Naiakshina et al.
I ricercatori hanno detto gli sviluppatori sono voluti tre giorni per presentare il loro lavoro, e che hanno dovuto chiedere 18 del 43 per inviare di nuovo il loro codice per includere un sistema di sicurezza con password quando hanno inviato un progetto che le password memorizzate in chiaro.
Di 18 anni che ha avuto reinviare i loro codici, 15 sviluppatori hanno fatto parte del gruppo che hanno mai detto di registrazione utente di sistema necessari per memorizzare le password in modo sicuro, mostrando che gli sviluppatori non intrinsecamente pensano alla sicurezza durante la scrittura del codice.
Immagine: Naiakshina et al.
Gli altri tre erano la metà che è stato detto di utilizzare un metodo sicuro per memorizzare le password, ma che le password memorizzate in chiaro comunque.
Immagine: Naiakshina et al.
I risultati mostrano che il livello di comprensione di ciò che “password sicura” media differisce notevolmente nel web di comunità di sviluppo.
Di sicuro la password di sistemi di storage sviluppatori hanno scelto di implementare per questo studio, solo gli ultimi due, SHA-256 e Bcrypt, sono considerate sicure.
8 – Base64
10 – MD5
1 – SHA-1
3 – 3DES
3 – AES
5 – PBKDF2
1 – HMAC/SHA1
5 – SHA-256
7 – Bcrypt
Il primo, Base64, e nemmeno un algoritmo di crittografia, ma una funzione di codifica, qualcosa che gli sviluppatori non sembrano sapere. Allo stesso modo per MD5, che è una funzione di hashing.
“Molti partecipanti hanno utilizzato l’hashing e la crittografia come sinonimi,” il team di studiosi ha detto, nella loro ricerca di carta.
“Il 18 partecipanti che hanno ricevuto l’ulteriore richiesta di protezione, 3 ha deciso di utilizzare Base64 e sostenuto, per esempio:” [I] crittografati in modo chiaro la password non è visibile “e Che” è molto difficile da decifrare’,” ricercatore ha detto, sottolineando che alcuni partecipanti allo studio non sapevo la differenza fondamentale tra un algoritmo di crittografia e una funzione che solo un’accozzaglia di personaggi in giro.
Inoltre, solo il 15 di 43 sviluppatori hanno scelto di implementare la salatura, un processo attraverso il quale la password memorizzate all’interno di un’applicazione di database è reso più difficile a rompere con l’aggiunta di dati casuali fattore.
Lo studio ha anche trovato che il 17 di 43 sviluppatori copiato il codice da siti internet, suggerendo che i liberi professionisti non hanno le competenze necessarie per sviluppare un sistema protetto da zero, e si è scelto di utilizzare il codice che potrebbero essere obsoleti o anche pieno di bug.
Pagare gli sviluppatori di tassi più alti non aiutano notevolmente, i ricercatori hanno detto.
Tuttavia, il gruppo di ricerca ha trovato che mi programmatori specifiche istruzioni per l’attuazione di una password di protezione del sistema di stoccaggio resa con risultati migliori di quelli che non dicono niente e poi aspetta gli sviluppatori di pensare alla sicurezza da soli.
Tuttavia, senza precise istruzioni, gli sviluppatori di scegliere quello che “crede” è stata una password di protezione del sistema di stoccaggio, ma in realtà, non era, suggerendo che la vigilanza da parte di un professionista è necessario durante la progettazione di qualsiasi tipo di sistema di sicurezza.
Quando ero un dev manager, ho usato qualcosa di molto simile, come un esercizio fisico come parte del processo di assunzione. Almeno il 90% memorizzato la password come testo normale. I loro numeri sono meglio di quanto credessi.
— Adam Caudil (@adamcaudill) il 6 Marzo 2019
I risultati dello studio mostrano chiaramente che ogni freelance developer conoscenza della cyber-security best practices varia notevolmente da persona a persona. Questo potrebbe essere obsolete o di formazione di alcuna formazione –ancora una volta di fare un caso contro l’uso di sviluppatori senza cyber-security esperienza per questo tipo di lavori.
Gli attacchi contro gli algoritmi di crittografia sono state portate a conoscenza di destra e di sinistra negli ultimi due decenni, e qualcosa di un sviluppatore potrebbe aver imparato in un vecchio manuale della scuola potrebbe non stare esame di oggi. Un buon punto di partenza per meglio password prassi è questa OWASP cheat sheet.
Ulteriori dettagli sui Università di Bonn e di studio sono disponibili nel documento di ricerca dal titolo “‘Se vuoi, io in grado di memorizzare la password crittografata.’ Una di Memorizzazione di Password Campo di Studio con Sviluppatori Freelance.”
Questo studio è una continuazione di due studi simili –per gli anni 2017 e 2018– che ha utilizzato gli studenti come soggetti, invece di sviluppatori freelance.
In precedenti studi, gli studenti ha detto che avrebbe attuato sicuro di memorizzazione delle password se fossero la creazione di codice per una società.” Il 2019 studio ha mostrato che gli attuali sviluppatori non stanno meglio di incustoditi gli studenti.
Più della cyber security report:
Google rivela Chrome zero-day in attivo attacksNew sfruttare consente agli aggressori di prendere il controllo di Windows Core dispositivi IoT
Google Project Zero rivela zero-day macOS vulnerabilità al publicWDS bug permette di hacker dirottare Windows Server via non valido TFTP packetsMarriott CEO di azioni post-mortem scorso anno hackCisco dice interruttore Nexus proprietari per disattivare POAP funzionalità per la sicurezza reasonsDJI correzioni di vulnerabilità che consentono di potenziali hacker spiare droni CNETTop 10 app vulnerabilità senza Patch, i plugin e le estensioni dominare TechRepublic
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati