Over en fjerdedel af alle de største content management systemer (cms ‘ er) bruge den gamle og forældede MD5 hashing ordning som standard til sikring og opbevaring af brugernes passwords.
Nogle af de projekter, der anvender MD5 som standard metode til lagring af adgangskoder omfatter WordPress, osCommerce, SuiteCRM, Simple Machines Forum, miniBB, MyBB, SugarCRM, CMS Made Simple, Aau, Phorum, Observium, X3cms, og Composr.
Dette betyder, at medmindre hjemmeside ejere ændret disse standardindstillinger ved at ændre CMS source kode, de fleste websteder, der er bygget på toppen af disse cms ‘ er sætter brugeren adgangskoder i fare i tilfælde af en hacker, der stjæler webstedets database.
Undersøgelse af standard password hashing-ordninger
Denne åbenbaring er blot en af de mange observationer, der kom ud af en omfattende akademisk forskningsprojekt ved Universitetet i Piræus i Grækenland.
Akademikere undersøgt 49 almindeligt anvendte cms ‘ er og 47 populære web application frameworks og kiggede på deres standard password storage mekanisme, nemlig deres password hashing-ordninger.
Password hashing er driften af tage en almindelig bruger-forudsat adgangskode, og omdanne den til et virvar af tilsyneladende tilfældige tegn, der er gemt inde i en database, uden at udsætte brugerens adgangskode.
Password hashing ordninger, der som regel involverer tre ting: et password hashing funktion, gentagelser, og en salt-streng.
Den centrale parameter af en hashing-ordningen er beskæftigede hash-funktion. Dette er, hvor begreber som MD5, SHA1, SHA256, SHA512, PBKDF2, BCRYPT, SCRYPT, eller Argon2 alle falde i.
For det andet er antallet af iterationer en hashing funktion anvendes til en klartekst-adgangskode. Jo større virksomheden er, jo vanskeligere bliver det for en hacker at vende den algoritme, der kræver en stor mængde regnekraft.
For det tredje, salt, string er en valgfri parameter i hashing ordninger, der anvendes sammen med den hashing funktion til at producere endnu mere tilfældige resultater. Når en salt snoren er brugt, en angriber skal kende både password og salt-strengen, før du forsøger at vende et krypteret password. Dette beskytter websted databaser mod blind gætte adgangskoden angreb, men ikke mod situationer, hvor angriberne også stjæle brugere’ salt-strenge.
Det er på grund af dette omhyggeligt balanved system, som hjemmesider, web, mobil, og enhver anden anvendelse, skal bruge en stærk adgangskode pashing system til at beskytte brugerens data.
I øjeblikket, er svagt, anses hashing funktioner, der allerede er brudt, ligesom MD5 og SHA1, mens stærk er meget komplekse og nyere systemer som BCRYPT, SCRYPT, og Argon2.
CMS analyse
Men virkeligheden er, at de fleste CMS-projekter og kodning rammer er ikke altid designet med sikkerhed i tankerne.
Universitetet i Piræus forskerholdet fandt, at næsten 60% af de testede CMS bruges en svag hashing funktion (ligesom MD5 eller SHA1), eller hashing funktioner som SHA256, SHA512, PBKDF2, som “kan være meget parallelized med GPU-hardware, hvilket gør at gætte adgangskoder angreb lettere.”
Af CMS projekter, der anvendes af en MHF (hukommelse hårdt funktion), alle brugte BCRYPT. Dette tegnede sig for 40.82%, herunder store navne som Joomla, phpBB, Vanille Fora, vBulletin, og SilverStripe.
Ingen CMS-projekt, der anvendes SCRYPT eller Argon2. Forskerholdet anført, at grunden til at ingen har brugt SCRYPT var fordi der var ingen indfødt PHP bibliotek til rådighed, hvilket betyder, at de fleste CMS-projekter-som er kodet for det meste i PHP — ikke kunne støtte det i deres kode.
For det andet, Argon2 var først for nylig tilføjet i PHP 7.2 udgivelse, og det kan tage et stykke tid, før det får udbredt vedtagelse, som flere servere flytte fra den ældre PHP 5.x-grenen til den nyere 7.x.
Billede: Ntantogian et al.
Hertil kommer, at brugen af salt var ikke 100% udbredte, som man kunne forvente. Per forskerholdet, 14,29% af de testede cms ‘ er ikke salt deres hashing ordning, forlader brugere sårbare over for rainbow table angreb.
Endnu værre, en større bid, 36.73% af de testede CMSs ikke ansætte iterationer for den hashing funktion, hvilket betyder at omkostningerne ved at bryde (revner) brugernes adgangskoder ville sandsynligvis være en lille en.
Desuden 38.78% af de testede cms ‘ er ikke håndhæve en mindste password længde politik, der ville resultere i, at brugerne vælge svage passwords.
Giver brugerne mulighed for at vælge svage adgangskoder ophæver effekten af at bruge en stærk adgangskode-hashing-ordninger, som angribere kan udnytte grundlæggende ordbog angreb mod et websted ‘ s login-formular til at gætte adgangskoden, uden nogensinde at skulle få fat i en krypteret adgangskode for at knække den.
Især i denne kategori har vi nogle ret store navne, såsom WordPress og Drupal, som begge er i øjeblikket muligt for én karakter-lange passwords.
Ramme analyse
Men CMS projekter, som giver en visuel grænseflade til opbygning af hjemmesider, var ikke de eneste, der er testet for denne forskning.
Så var web-applikation rammer, som giver kildekoden biblioteker, som mere skræddersyede websites kan være bygget, men uden hjælp af en GUI og backend-panel.
“23.40% af den web-applikation rammer opt for svag (dvs, parallelizable) hash funktioner, mens 12.77% af dem ikke bruge iterationer,” forskerholdet sagde.
“Hvad er mere, kun 27.66% anvender BCRYPT hash funktion som standard. Svarende til CMS og observation 2, SCRYPT og Argon2 er fraværende fra standardindstillingerne.”
Desuden, i modsætning til CMS projekter, hvor en standard password hashing ordning er valgt for hjemmeside ejeren af standard-ellers CMS vil ikke køre korrekt, — nogle kodning rammer ikke har en standard password hashing ordning er valgt, og overlade dette til bygherren.
“48.94% af de undersøgte web application frameworks tilbyder ikke en standard password hashing ordning, som kan føre til udvælgelsen af et svagt password hashing-ordningen i web-applikationer,” siger forskerne.
Billede: Ntantogian et al.
Konklusionerne fra dette forskningsprojekt er ret let at se, bare ved at kigge på tallene. De fleste cms ‘ er og web-applikation rammer ikke give standarder, der er sikker nok.
Da ikke alle CMS-brugere er programmører, vil dette resultere i, at websteder at gemme brugerens adgangskoder ved hjælp af forældede password hashing-ordninger, at sætte brugeren data i fare.
Normalt, vil man måske tænke, at web application frameworks ville have bedre numre, og en bedre sikkerhedssituation, da programmører er de eneste, der kan bruge disse værktøjer.
Dog forlader valget af en sikker adgangskode-hashing-ordningen, at programmører er også en dårlig beslutning — ifølge en anden undersøgelse, udført af Universitetet i Bonn i Tyskland, og som blev offentliggjort i Marts i år.
Undersøgelsen viste, at programmører vil ofte tage den nemme vej ud og ikke gennemføre en ordentlig password-sikkerhed, vælge svag password hashing-ordninger, og springe på gennemførelse password saltning.
Alt i alt, den græske forskere hævder, at CMS-projekter og web-applikation rammer bør komme med en stærk standard for password hashing-ordningen, og lad udviklere nedjustering i tilfælde af tekniske problemer.
Flere oplysninger om University of Piræus forskning er tilgængelige i en hvidbog, der hedder “Evaluering af password hashing-ordninger i open source web-platforme.”
Relaterede cybersecurity dækning:
Tyskland: Politiet fandt i fire smartphone-modeller; 20.000 brugere infectedGoogle udvider Android indbygget sikkerhed nøglen til iOS devicesFor to timer, en stor del af det Europæiske mobile trafik blev omlagt gennem ChinaAncient ICEFOG APT malware opdaget igen i nye bølge af attacksCBP siger hackere stjal nummerplader og rejsende’ photosTwo-tredjedele af iOS-apps deaktivere ATS, en iOS-security-funktion, iOS udviklere stadigvæk at bygge end-to-end kryptering til apps TechRepublicDe bedste identitetstyveri overvågning tjenester til 2019 CNET
Relaterede Emner:
Open Source
Sikkerhed-TV
Data Management
CXO
Datacentre