Verbreitete Webapplikationen arbeiten mit unsicherem Passwort-Hashing

Verbreitete Webapplikationen arbeiten mit unsicherem Passwort-Hashing

Verbreitete Webapplikationen arbeiten mit unsicherem Passwort-Hashing

(Quelle: Pixabay/thedigitalartist)
19. Juni 2019 -  CMS wie Wordpress und CRM wie SugarCRM nutzen für das Speichern von Passwörtern die längst überholte und unsichere MD5-Hashfunktion und nehmen es auch sonst mit der Sicherheit nicht so ernst. Dies zeigt eine Studie von zwei Forschern der Universität Piräus.
Viele gebräuchliche Content-Management-Systeme und gängige Webapplikationen setzen beim Speichern von Passwörtern auf veraltete und als unsicher geltende Hashing-Funktionen. Dies meldet "ZDnet" unter Berufung auf eine Studie der Universität von Piräus, die in der aktuellen Ausgabe des Fachjuornals "Computers & Security" veröffentlicht wurde.

Die griechischen Forscher haben die Voreinstellungen für die Passwortspeicherung von 49 verbreiteten CMS und 47 Web Application Frameworks untersucht. Das Ergebnis: Fast 60 Prozent der getesteten CMS setzen zumindest in der Grundeinstellung auf schwache Hashing-Funktionen wie MD5 oder SHA1. Dies trifft zum Beispiel auf Wordpress, OScommerce, SugarCRM, CMS Made Simple, Composr und MyBB zu.

Nur bei rund 40 Prozent kommt schon "ab Werk" der neuere, sichere Hashing-Algorithmus Bcrypt zum Einsatz. Zu diesen guten Kandidaten zählen Joomla, PHPbb, Vbulletin und Silverstripe. Andere, ebenfalls als sicher geltende Hash-Funktionen wie Scrypt und Argon2 werden praktisch nicht unterstützt – dazu fehlt laut der Studie die Unterstützung in PHP, auf dem die meisten gebräuchlichen CMS basieren.

Ein weiteres Ergebnis der Analyse: Zahlreiche der untersuchten CMS und Frameworks schreiben von Haus aus keine Mindestpasswortlänge vor. So kann in Wordpress und Drupal in der Voreinstellung ein einzelnes Zeichen als Passwort dienen. Die Studienautoren schlagen den CMS-Entwicklern deshalb vor, bei den Grundeinstellungen statt des bisherigen Opt-In-Modus für stärkere Sicherheit zum Opt-Out-Modell zu wechseln und per Default eine höhere Mindestpasswortlänge und sichere Hashfunktionen vorzugeben. (ubi)
Vorherige News
 
Nächste News

Neuen Kommentar erfassen

Kommentare werden vor der Freischaltung durch die Redaktion geprüft.
Anti-Spam-Frage Wieviele Zwerge traf Schneewittchen im Wald?
Antwort
Name
E-Mail
NEWSLETTER ABONNIEREN
Abonnieren Sie unseren täglichen Newsletter mit den wichtigsten ICT-Meldungen
SWISS IT MAGAZINE - AUSGABE 2019/09
Schwerpunkt: Herausforderung Datenmigration
• Datenmigration: Ein strategisches Projekt
• Erfolgreiche Datenmigration: So geht’s
• Marktübersicht: Partner für die Datenfracht
• Aus zwei mach eins
• Die Altdaten bei Migrationen in den Griff bekommen
Zum Inhaltsverzeichnis
SPONSOREN & PARTNER