A legtöbb tartalomkezelő rendszer komoly biztonsági hiányosságokkal küzd

 

A Pireuszi Egyetem kiterjedt kutatást végzett 49 népszerű webes tartalomkezelő rendszer (Content Management System ─ CMS), valamint 47 népszerű web alkalmazás keretrendszer bevonásával, elsősorban az alapértelmezett jelszókezelési mechanizmusokat vizsgálva. Ez az eljárás, amelynek során a felhasználó által megadott szabad szöveges jelszóból egy látszólag véletlenszerű karakterekből álló változatot konvertálnak, majd ez kerül tárolásra az eredeti jelszó helyett. A jelszó titkosítása általában három összetevőből áll: egy jelszó hash algoritmusból (hasítófüggvény), iterációs lépésekből, valamint egy „salt”-nak hívott véletlenszerű értékből, amelyet hozzáadnak a jelszóhoz, ezáltal nehezítve annak visszafejtését. Ezek közül a leginkább lényeges az algoritmus, amelynek több típusa is ismert, ezek közül azonban jó néhány már elavultnak számít, mint például az MD5, vagy az SHA-1. Az akadémiai kutatás ugyanakkor azt találta, hogy a CMS-ek közel 60%-a ilyen gyenge függvényt használ, vagy olyan algoritmust, amely megfelelő hardveres erőforrások mellett könnyen párhuzamosítható ─ mint például az SHA256, az SHA512, valamint a PBKDF2 ─ ami jelentősen megkönnyíti a feltörésüket. Emellett további lényeges megállapításokat is tettek, például kiderült, hogy sem az iterációk, sem a salt használata nem általános érvényű, a tartalomkezelők közel 40%-a pedig nem követel meg minimum hosszt a jelszavakra vonatkozóan, így a felhasználóknak lehetőségük van gyenge jelszót választani. Ez utóbbi probléma érinti többek közt a WordPresst és Drupalt is, mindkettő egyetlen karaktert is elfogad jelszóként.

(zdnet.com)