Verbreitete Webapplikationen arbeiten mit unsicherem Passwort-Hashing
Quelle: Pixabay/thedigitalartist

Verbreitete Webapplikationen arbeiten mit unsicherem Passwort-Hashing

CMS wie Wordpress und CRM wie SugarCRM nutzen für das Speichern von Passwörtern die längst überholte und unsichere MD5-Hashfunktion und nehmen es auch sonst mit der Sicherheit nicht so ernst. Dies zeigt eine Studie von zwei Forschern der Universität Piräus.
19. Juni 2019

     

Viele gebräuchliche Content-Management-Systeme und gängige Webapplikationen setzen beim Speichern von Passwörtern auf veraltete und als unsicher geltende Hashing-Funktionen. Dies meldet "ZDnet" unter Berufung auf eine Studie der Universität von Piräus, die in der aktuellen Ausgabe des Fachjuornals "Computers & Security" veröffentlicht wurde.

Die griechischen Forscher haben die Voreinstellungen für die Passwortspeicherung von 49 verbreiteten CMS und 47 Web Application Frameworks untersucht. Das Ergebnis: Fast 60 Prozent der getesteten CMS setzen zumindest in der Grundeinstellung auf schwache Hashing-Funktionen wie MD5 oder SHA1. Dies trifft zum Beispiel auf Wordpress, OScommerce, SugarCRM, CMS Made Simple, Composr und MyBB zu.


Nur bei rund 40 Prozent kommt schon "ab Werk" der neuere, sichere Hashing-Algorithmus Bcrypt zum Einsatz. Zu diesen guten Kandidaten zählen Joomla, PHPbb, Vbulletin und Silverstripe. Andere, ebenfalls als sicher geltende Hash-Funktionen wie Scrypt und Argon2 werden praktisch nicht unterstützt – dazu fehlt laut der Studie die Unterstützung in PHP, auf dem die meisten gebräuchlichen CMS basieren.

Ein weiteres Ergebnis der Analyse: Zahlreiche der untersuchten CMS und Frameworks schreiben von Haus aus keine Mindestpasswortlänge vor. So kann in Wordpress und Drupal in der Voreinstellung ein einzelnes Zeichen als Passwort dienen. Die Studienautoren schlagen den CMS-Entwicklern deshalb vor, bei den Grundeinstellungen statt des bisherigen Opt-In-Modus für stärkere Sicherheit zum Opt-Out-Modell zu wechseln und per Default eine höhere Mindestpasswortlänge und sichere Hashfunktionen vorzugeben. (ubi)


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Aus welcher Stadt stammten die Bremer Stadtmusikanten?
GOLD SPONSOREN
SPONSOREN & PARTNER