Viele gebräuchliche Content-Management-Systeme und gängige Webapplikationen setzen beim Speichern von Passwörtern auf veraltete und als unsicher geltende Hashing-Funktionen. Dies
meldet "ZDnet" unter Berufung auf eine
Studie der Universität von Piräus, die in der aktuellen Ausgabe des Fachjuornals "Computers & Security" veröffentlicht wurde.
Die griechischen Forscher haben die Voreinstellungen für die Passwortspeicherung von 49 verbreiteten CMS und 47 Web Application Frameworks untersucht. Das Ergebnis: Fast 60 Prozent der getesteten CMS setzen zumindest in der Grundeinstellung auf schwache Hashing-Funktionen wie MD5 oder SHA1. Dies trifft zum Beispiel auf Wordpress, OScommerce, SugarCRM, CMS Made Simple, Composr und MyBB zu.
Nur bei rund 40 Prozent kommt schon "ab Werk" der neuere, sichere Hashing-Algorithmus Bcrypt zum Einsatz. Zu diesen guten Kandidaten zählen Joomla, PHPbb, Vbulletin und Silverstripe. Andere, ebenfalls als sicher geltende Hash-Funktionen wie Scrypt und Argon2 werden praktisch nicht unterstützt – dazu fehlt laut der Studie die Unterstützung in PHP, auf dem die meisten gebräuchlichen CMS basieren.
Ein weiteres Ergebnis der Analyse: Zahlreiche der untersuchten CMS und Frameworks schreiben von Haus aus keine Mindestpasswortlänge vor. So kann in Wordpress und Drupal in der Voreinstellung ein einzelnes Zeichen als Passwort dienen. Die Studienautoren schlagen den CMS-Entwicklern deshalb vor, bei den Grundeinstellungen statt des bisherigen Opt-In-Modus für stärkere Sicherheit zum Opt-Out-Modell zu wechseln und per Default eine höhere Mindestpasswortlänge und sichere Hashfunktionen vorzugeben.
(ubi)
