Studie: Bekannte CMS nutzen unsicheres Passwort-Hashing
Forscher der University of Piraeus in Griechenland beschäftigten sich in einer neuveröffentlichten Studie mit den voreingestellten Mechanismen zur Passwortspeicherung von 49 weit verbreiteten CMS und 47 Web Application Frameworks. Dabei fanden sie heraus, dass viele bekannte und häufig benutzte CMS auf veraltete Passwort-Hashing-Funktionen setzen.
"Evaluation of password hashing schemes in open source web platforms" – Die Studie der griechischen Forscher zeigt eins ganz deutlich: Namenhafte Content-Management-Systeme nutzen unsicheres Passwort-Hashing, um Passwörter der Nutzer zu schützen. Rund ein Viertel setzten ab Werk auf veraltete und inzwischen als unsicher eingestufte Hashfunktionen wie MD5. Unter anderem gehören dazu CMS wie WordPress, osCommerce, SuiteCRM, Simple Machines Forum, miniBB, MyBB, SugarCRM, CMS Made Simple, Phorum, Observium, X3cms und Composr. Nur bei rund 40 Prozent der Systeme ist eine sichere Hashing-Funktion voreingestellt.
Wozu wird Hashing benutzt?
Hashing wird verwendet, um Passwörter von Nutzern nicht im Klartext speichern zu müssen. Dabei hinterlegt der Betreiber eines Forums oder einer Webseite nicht das eigentliche Passwort des Nutzers, sondern eine daraus generierte zufällige Zeichenfolge, den sogenannten Hash. Die Zeichenfolge wird dabei mit Algorithmen beziehungsweise kryptografischen Funktionen wie MD5, SHA1, SHA512, Bcrypt oder PBKDF2 erzeugt. Es zeigt sich jedoch, dass nicht mehr alle gebräuchlichen Algorithmen als sicher gelten – dazu zählen etwa MD5 und SHA1. Diese werden inzwischen durch neuere, sichere und komplexere Systeme wie Bcrypt, Scrypt und Argon2 abgelöst.
Keine PHP-Bibliothek für Scrypt
Laut der Studie setzen jedoch immer noch fast 60 Prozent der getesteten CMS weiterhin auf schwache Hashing-Funktionen oder jene, die durch spezielle Hardware für Parallel Computing für Passwort-Angriffe anfällig sind. CMS, die eine sichere Funktion voreingestellt hatten (40%) sind beispielsweise Joomla, phpBB, Vanilla Forums, vBulletin und SilverStripe. Als sicher gilt außerdem aus der Sicht der Forscher "Scrypt". Doch das wird häufig nicht eingesetzt, weil es keine native PHP-Bibliothek dafür gibt. Da die meisten CMS-Projekte, die auf PHP basieren, unterstützen diese daher Scrypt nicht.
Viele CMS verzichten auf Mindestpasswortlänge
Die Studie zeigt außerdem, dass rund 38 Prozent der getesteten CMS auf eine Mindestpasswortlänge verzichten. WordPress oder Drupal akzeptieren etwa einzelne Zeichen als Passwörter. Auch das "Salting", was eingeführt wurde, um die Sicherheit gehashter Passwörter zu verbessern, ist kein Standard. Beim "Salting" wird ein zufällig generierter Wert vor der Verschlüsselung an das Nutzerpasswort angehängt. Bei nur 85 Prozent der getesteten Programme kam "Salting" zum Einsatz.
LG
Sie möchten zukünftig per Newsletter der Informatik Aktuell informiert werden? Hier können Sie sich anmelden.
