“如果您愿意,我可以加密密码。”
已明确指示使用加密技术的一些开发人员已使用Base64密码加密当有关另一数据泄漏的信息出现在媒体上时,总是令人困惑的是,该公司为何以明文形式保存用户密码,未保护API或犯了一些其他基本错误。 在我们这个时代是否可能违反安全规则?
波恩大学(德国)的
一项新研究表明,自由开发人员默认情况下会遵循极其不安全的做法,除非客户要求更多。
研究人员邀请了Freelancer.com上的260名Java开发人员开发了一个虚构的社交网络的注册系统,据说客户已经开始这样做。 其中只有43家同意接受使用Java,JSF,Hibernate和PostgreSQL技术的命令。
一半的开发人员为这项工作收取了100欧元,另一半-200欧元。 指示两组中的一半使用安全密码存储,而另一组则不使用。
尽管样本显然很小,但差异是如此之大,以至于暗示了一些总体趋势。 以下是一些研究结果:
- 在未获得说明的用户中,18个密码中有15个密码保持明文形式
- 被指示使用安全存储的三个人还以明文形式存储了密码。
- 加密密码的程序员使用了不安全的方法:31位程序员使用了诸如Base64,MD5,SHA-1等方法进行加密。
- 只有12名威客使用过安全方法,例如bcrypt和PBKDF2。
8个人使用Base64进行加密
10-MD5
1-SHA-1
3-3DES
3-AES
5-SHA-256
1-HMAC / SHA1
5-PBKDF2
7-Bcrypt
下表(通过点击增加)显示了每个参与者的完整结果:他需要完成多少天,完成安全性需要花费多少时间以及应用了哪种加密算法。 在表格的上半部分,已被直接指示加密信息的人员。 大胆的参与者是那些首先发送了不安全的解决方案,但随后又收到了实施安全密码存储区的其他说明的参与者。
绝大多数程序员无法实现基本的安全方法,并且从随机网站复制的43条代码中有17条是无法实现的。
只有15个开发人员使用了salt-将数据字符串与密码一起传递给hash函数,这极大地简化了暴力破解。
该表(可单击)显示了研究参与者的人口统计数据。 如您所见,这些人主要是男性,平均年龄为30岁,来自11个国家/地区(在两种情况下,未显示该国家/地区)低薪和高薪团队的工作质量大致相同。
总的来说,这项研究令人沮丧。 可以认为,自由职业者的基本安全意识低得令人难以置信。 在接受特殊使用密码说明的18名参与者中,有3名决定使用Base64并声称,例如:“ [I]加密了所有内容,使密码不可见”和“解密非常困难”。
也许这种行为只针对自由职业者,而没有任何指示的工作人员会立即尝试做出安全的决定? 该研究没有提供此问题的答案。
