Tyrimas rodo, kad programuotojai pasirinks lengvesnį kelią ir neįdiegs tinkamo slaptažodžio saugumo

  • Sep 07, 2023

Studentas ar programuotojas, pasamdytas iš Freelancer.com? Tikrai nesvarbu. Abu nežino tiek daug dalykų apie slaptažodžių apsaugą.

Neseniai atliktas tyrimas atskleidė, kad laisvai samdomi kūrėjai turi būti aiškiai įpareigoti rašyti kodą, kuris saugiai saugo slaptažodžius.

Eksperimente, kuriame dalyvavo 43 programuotojai, pasamdyti per Freelancer.com platformą, Bonos universiteto mokslininkai atrado, kad kūrėjai linkę rinktis lengvesnį kelią ir rašyti kodą, kuriame nesaugiai saugomi vartotojų slaptažodžiai.

Savo tyrimui Vokietijos akademikai paprašė 260 „Java“ programuotojų grupės sukurti naudotojų registracijos sistemą netikram socialiniam tinklui.

Iš 260 kūrėjų tik 43 ėmėsi darbo, kuris apėmė tokias technologijas kaip Java, JSF, Hibernate ir PostgreSQL kuriant vartotojo registracijos komponentą.

Iš 43 akademikai pusei grupės mokėjo 100 eurų, o kitai pusei 200 eurų, kad nustatytų, ar didesnis atlyginimas turėjo įtakos diegiant slaptažodžio apsaugos priemones.

Be to, jie antrą kartą padalijo kūrėjų grupę, paskatindami pusę kūrėjų saugiai saugoti slaptažodžius, o kitą pusę palikdami saugoti slaptažodžius. taigi keturi ketvirtadaliai kūrėjų sumokėjo 100 eurų ir buvo raginami naudoti saugų slaptažodžių saugojimo būdą (P100), kūrėjai sumokėjo 200 eurų ir paragino naudoti saugų slaptažodžių saugojimo būdą (P200), kūrėjai sumokėjo 100 eurų, bet nebuvo raginami už slaptažodžio apsaugą (N100), o tie, kurie sumokėjo 200 eurų, bet nebuvo raginami už slaptažodžio apsaugą (N200).

Laisvai samdomų vertėjų demografija
Vaizdas: Naiakshina ir kt.

Tyrėjai teigė, kad kūrėjai užtruko tris dienas, kad pateiktų savo darbus ir kad jie turėjo paprašyti 18 iš 43 iš naujo pateikite savo kodą, kad įtrauktų slaptažodžių apsaugos sistemą, kai pirmą kartą išsiuntė projektą, kuriame buvo saugomi slaptažodžiai paprastas tekstas.

Iš 18, kurie turėjo iš naujo pateikti savo kodą, 15 kūrėjų priklausė grupei, kuriai niekada nebuvo pranešta apie vartotojo registraciją sistema, reikalinga saugiam slaptažodžio saugojimui, o tai rodo, kad kūrėjai, rašydami kodą, negalvoja apie saugumą.

Vaizdas: Naiakshina ir kt.

Kiti trys buvo iš pusės, kuriai buvo liepta naudoti saugų slaptažodžių saugojimo metodą, bet kurie slaptažodžius vis tiek saugojo paprastu tekstu.

Vaizdas: Naiakshina ir kt.

Rezultatai rodo, kad žiniatinklio kūrimo bendruomenės supratimo, ką reiškia „saugūs slaptažodžiai“, lygis labai skiriasi.

Iš saugių slaptažodžių saugojimo sistemų, kurias kūrėjai pasirinko įgyvendinti šiam tyrimui, tik dvi paskutinės – PBKDF2 ir Bcrypt – laikomos saugiomis.

8 - Bazė64
10 - MD5
1 – SHA-1
3 - 3DES
3 – AES
5 – SHA-256
1 – HMAC/SHA1
5 - PBKDF2
7 - Bcrypt

Pirmasis, „Base64“, yra net ne šifravimo algoritmas, o kodavimo funkcija, kurios dalyvaujantys kūrėjai, atrodo, nežinojo. Panašiai ir MD5, kuri yra maišos funkcija.

„Daugelis dalyvių naudojo maišą ir šifravimą kaip sinonimus“, – savo moksliniame darbe teigė akademikų komanda.

„Iš 18 dalyvių, gavusių papildomą saugumo užklausą, 3 nusprendė naudoti Base64 ir ginčijosi, pavyzdžiui: „[aš] užšifravau, kad aiškus slaptažodis nebūtų matomas“ ir „Tai labai sunku iššifruoti“, – sakė mokslininkas, pabrėždamas, kad kai kurie tyrimo dalyviai nežinojo pagrindinio skirtumo tarp šifravimo algoritmo ir funkcijos, kuri tik maišo simbolius. aplinkui.

Be to, tik 15 iš 43 kūrėjų pasirinko įdiegti sūdymas, procesas, kurio metu programos duomenų bazėje saugomą šifruotą slaptažodį sunkiau nulaužti pridedant atsitiktinių duomenų faktorių.

Tyrimas taip pat parodė, kad 17 iš 43 kūrėjų nukopijavo savo kodą iš interneto svetainių, o tai rodo, kad laisvai samdomi darbuotojai neturėjo būtinų įgūdžių sukurti saugią sistemą nuo nulio, ir pasirinko naudoti kodą, kuris gali būti pasenęs ar net pilnas klaidų.

Pasak mokslininkų, didesnių tarifų mokėjimas kūrėjams nepadėjo.

Tačiau tyrėjų komanda nustatė, kad programišiams pateikiamos konkrečios instrukcijos, kaip įdiegti saugų slaptažodžių saugojimą sistema davė geresnių rezultatų nei išvis nieko nesakęs ir tada tikėtis, kad kūrėjai pagalvos apie saugumą patys.

Nepaisant to, be tikslių instrukcijų kūrėjai pasirenka tai, kas, jų manymu, yra saugi slaptažodžių saugojimo sistema, tačiau iš tikrųjų to nebuvo, o tai rodo, kad kuriant bet kokio tipo apsaugą reikalinga profesionalo priežiūra sistema.

Kai buvau kūrėjų vadovas, kai ką labai panašaus naudojau kaip įdarbinimo proceso dalį. Bent 90% slaptažodžio saugojo kaip paprastą tekstą. Jų skaičius geresnis, nei būčiau spėjęs.

- Adomas Caudill (@adamcaudill) 2019 m. kovo 6 d

Tyrimo rezultatai aiškiai rodo, kad kiekvieno laisvai samdomo kūrėjo žinios apie geriausią kibernetinio saugumo praktiką kiekvienam žmogui labai skiriasi. Tai gali būti dėl pasenusių mokymų arba visai nevykdomų mokymų – dar kartą pasisakoma, kad tokiems darbams nebūtų naudojami kūrėjai, neturintys kibernetinio saugumo patirties.

Atakos prieš šifravimo algoritmus per pastaruosius du dešimtmečius buvo atskleistos kairėje ir dešinėje, ir kažkas, ko kūrėjas galėjo išmokti pasenusiame mokyklos vadove, gali neatlaikyti dėmesio šiandien. Tai yra geras atspirties taškas geresnei slaptažodžių praktikai OWASP sukčiavimo lapas.

Daugiau informacijos apie šį Bonos universiteto tyrimą rasite moksliniame darbe pavadinimu ""Jei norite, galiu išsaugoti užšifruotą slaptažodį." Slaptažodžių saugojimo lauko tyrimas su laisvai samdomais kūrėjais."

Šis tyrimas yra dviejų panašių tyrimų tęsinys – nuo 2017 ir 2018-- kuri naudojo studentus kaip dalykus, o ne laisvai samdomus kūrėjus.

Ankstesniuose tyrimuose studentai teigė, kad būtų įdiegę saugią slaptažodžių saugyklą kurti įmonės kodą.“ 2019 m. tyrimas parodė, kad dabartiniai kūrėjai nėra geresni už neprižiūrimi studentai.

Duomenų nutekėjimas: dažniausiai pasitaikantys šaltiniai

Daugiau kibernetinio saugumo ataskaitų:

  • „Google“ atskleidžia „Chrome“ nulinę dieną po aktyvių atakų
  • Naujas išnaudojimas leidžia užpuolikams perimti Windows IoT Core įrenginių valdymą
  • „Google“ projektas „Zero“ visuomenei atskleidžia nulinės dienos „MacOS“ pažeidžiamumą
  • WDS klaida leidžia įsilaužėliams užgrobti Windows serverius per netinkamai suformuotus TFTP paketus
  • „Marriott“ generalinis direktorius dalijasi pomirtiniu pranešimu apie praėjusių metų įsilaužimą
  • „Cisco“ nurodo „Nexus“ jungiklio savininkams saugumo sumetimais išjungti POAP funkciją
  • DJI pataiso pažeidžiamumą, leidžiantį potencialiems įsilaužėliams šnipinėti dronus CNET
  • 10 populiariausių programų spragų: dominuoja nepataisyti papildiniai ir plėtiniai TechRepublic