News

Unglaublich: Große Content-Management-Systeme nutzen unsicheres Passwort-Hashing

Zu den bekanntesten Vertretern gehören WordPress, Composr und SugarCRM - WordPress und Drupal lassen "ab Werk" sogar einzelne Zeichen als Passwörter für Nutzerkonten zu!

Eine sichere Hashing-Funktion für Passwörter und dergleichen ist nur bei rund 40 Prozent der Systeme voreingestellt - was helfen da Sicherheitszertifikate, wenn die Hersteller so grob fahrlässig handeln?

Was ist Hashing?
Hashing nennt sich eine Funktion, um Passwörter nicht im Klartext speichern zu müssen. Der Betreiber einer Website oder eines Forums hinterlegt in seinem System also nicht das eigentliche Kennwort des Nutzers, sondern eine daraus generierte zufällige Zeichenfolge. Diese Zeichenfolge basiert auf Algorithmen beziehungsweise kryptografischen Funktionen wie MD5, SHA1, SHA512, Bcrypt oder PBKDF2.

Ein Viertel der am häufigsten genutzten Content-Management-Systeme (CMS) setzten ab Werk auf veraltete und inzwischen als unsicher eingestufte Hashfunktionen wie MD5. Ein Schutz der Daten und Passwörter von Nutzern ist damit eigentlich nicht möglich. Weitere unsichere Anbieter sind osCommerce, SuiteCRM, Simple Machines Forum, miniBB, MyBB, CMS Made Simple, Phorum, Observium und X3cms.

Es gibt aber auch gute Nachrichten: Bei 40,82 Prozent der CMS war eine sichere Funktion voreingestellt (Bcrypt). Als Beispiele nannte die Studie Joomla, phpBB, Vanilla Forums, vBulletin und SilverStripe.

Entdeckt wurde es durch eine Studie von Forschern der University of Piraeus in Griechenland, sie beschäftigten sich mit den voreingestellten Mechanismen zur Passwortspeicherung von 49 weit verbreiteten CMS und 47 Web Application Frameworks.

PS: Salting, das die Sicherheit gehashter Passwörter verbessert, ist kein Standard und kam nur bei rund 85 Prozent der CMS zum Einsatz.

 

Alle News gibt es hier zu sehen, eine Suche lässt sich hier starten und zur Startseite geht es hier mit einem Klick!