Следующая новость
Предыдущая новость

25% всех популярных CMS до сих пор используют MD5 для хеширования паролей

18.06.2019 21:03
25% всех популярных CMS до сих пор используют MD5 для хеширования паролей

Рекомендуем почитать:

Xakep #242. Фаззинг

  • Содержание выпуска
  • Подписка на «Хакер»

Исследователи из греческого Университета Пирея изучили рынок популярных CMS, рассмотрев 49 часто используемых CMS и 47 популярных фреймворков, и пришли к печальному выводу: системы управления контентом по сей день используют по умолчанию алгоритм MD5 для хеширования и хранения паролей.

Среди таких «нарушителей» исследователи называют WordPress, osCommerce, SuiteCRM, Simple Machines, miniBB, MyBB, SugarCRM, CMS Made Simple, MantisBT, Phorum, Observium, X3cms и Composr. Фактически использование MD5 по умолчанию означает, что если владельцы таких сайтов не изменили настройки по умолчанию, то пароли пользователей будут подвергаться риску, например, если потенциальный злоумышленник похитит БД сайта.

В настоящее время слабыми и устаревшими считаются те хеш-функции, которые ранее уже были взломаны, и их небезопасность была доказана (например, MD5 и SHA1). Более устойчивыми считаются сложные и более новые решения, такие как BCRYPT, SCRYPT и Argon2.

Увы, почти 60% протестированных аналитиками CMS используют устаревшие алгоритмы (например, MD5 или SHA1) или же прибегают к таким решениями, как SHA256, SHA512, PBKDF2, атаки на которые можно значительно облегчить, используя мощности GPU.

Также выяснилось, что все CMS с включенным MHF (memory hard function) используют BCRYPT. Таковых насчитывается 40,82%, включая Joomla, phpBB, Vanilla Forums, vBulletin и SilverStripe.

Исследователям не удалось обнаружить ни одной CMS, использующей SCRYPT или Argon2. Специалисты объясняют, что причина такой непопулярности SCRYPT кроется в отсутствии доступной нативной библиотеки PHP, из-за чего большинство CMS попросту не могут ее поддержать. В свою очередь, Argon2 был добавлен в PHP 7.2, что произошло недавно, и может пройти некоторое время, прежде чем он получит широкое распространение.

25% всех популярных CMS до сих пор используют MD5 для хеширования паролей

Интересно и то, что использование соли оказалось распространено не так широко, как можно было бы ожидать. По данным исследователей, 14,29% протестированных CMS не солят своих хеши, оставляя пользователей уязвимыми для атак с использованием радужных таблиц.

Однако, как уже было сказано выше, эксперты проверяли не только CMS, но и популярные фреймворки. Увы, в данной области ситуация оказалась немногим лучше. 23,40% фреймворков выбирают слабые (распараллеливаемые) хеш-функции, тогда как 12,77% из них не используют итерации.

При этом лишь 27,66% фреймворков по умолчанию используют хеш-функцию BCRYPT, а SCRYPT и Argon2 тоже отсутствуют в настройках по умолчанию.

Хуже того, в отличие от CMS, многие фреймворки вообще не предлагают схему хеширования по умолчанию, оставляя это на откуп разработчикам. Таковых насчитывается 48,94%, что тоже может привести к выбору слабой схемы хеширования и подвергнуть пользователей угрозе.

25% всех популярных CMS до сих пор используют MD5 для хеширования паролей

Источник

Последние новости