Forscher der University of Piraeus in Griechenland beschäftigten sich in einer Studie mit den voreingestellten Mechanismen zur Passwortspeicherung bei 49 verbreiteten CMS und 47 Web Application Frameworks mit hoher Verbreitung.
Dabei stellten sie fest, dass ein Viertel der am häufigsten genutzten Content-Management-Systeme (CMS) ab Werk auf veraltete und inzwischen als unsicher eingestufte Hashfunktionen wie MD5 setzen, um Passwörter der Benutzer zu schützen.
Zu diesen Content-Management-Systemen gehören unter anderem WordPress, osCommerce, SuiteCRM, Simple Machines Forum, miniBB, MyBB, SugarCRM, CMS Made Simple, Phorum, Observium, X3cms und Composr.
Veraltete und unsichere Hash-Funktionen
Hashes werden normalerweise benutzt, um Passwörter von Usern nicht im Klartext abspeichern zu müssen. Dabei hinterlegt der Betreiber einer Website oder eines Forums in seinem System nicht das eigentliche Passwort des Nutzers, sondern eine daraus erzeugte zufällige Zeichenfolge, den Hash.
Diese Zeichenfolge wird mit Algorithmen bzw. kryptografischen Funktionen wie MD5, SHA1, SHA512, Bcrypt oder PBKDF2 erzeugt.
Allerdings gelten nicht mehr alle gebräuchlichen Algorithmen als sicher. Zu den unsicheren Vertretern zählen MD5 und SHA1. Sie werden inzwischen durch neuere, sicherere Systeme wie Bcrypt, Scrypt und Argon2 abgelöst.
Nach der Studie setzen aber fast 60 Prozent der getesteten CMS immer noch auf schwache Hashing-Funktionen oder solche Funktionen, die dank spezieller Hardware für Parallel Computing für bekannte Passwort-Angriffe recht anfällig sind.
Nur bei 40,82 Prozent der getesteten Programme war eine sichere Funktion voreingestellt, und das war bei allen Bcrypt. Als Beispiele daführ zählt die Studie Joomla, phpBB, Vanilla Forums, vBulletin und SilverStripe auf.
Für Scrypt fehlt eine entsprechende PHP-Bibliothek
Das auch als recht sicher geltende Scrypt wird nach Ansicht der Forscher deshalb nicht eingesetzt, weil es dafür noch keine native PHP-Bibliothek gibt. Deshalb unterstützen die meisten CMS-Projekte, die auf PHP basieren, Scrypt nicht. Und das ebenfalls sichere Argon2 ist erst seit der Version 7.2 in PHP enthalten. Leider basieren aber noch viele Webserver auf älteren PHP-Versionen bis zurück zu PHP 5.x.
Ein-Buchstaben-Passwörter möglich
Außerdem deckte die Studie auch noch auf, dass 38,78 der getesteten CMS keine Mindestpasswortlänge vorgeben. Sowohl WordPress als auch Drupal akzeptieren in der Vorsteinstellung sogar einzelne Zeichen als Passwörter!
Und auch das Salting, das die Sicherheit gehashter Passwörter durch einfügen eines Zusatzes (Salt) verbessert, ist bei den CMS noch kein Standard und kam nur bei rund 85 Prozent der getesteten Programme zum Einsatz.
