كلمات مرور أنظمة إدارة المحتوى لديك غير آمنة - الأبحاث تثبت
من الآمن أن نقول إن عالم الإنترنت ليس شيئًا حرفيًا بدون المحتوى الذي نجده في حياتنا اليومية. لذلك ، على الرغم من أن حماية المحتوى بمعايير الأمان التي لا تشوبها شائبة أمر ضروري ، فقد اكتشفت دراسة حديثة أن أنظمة إدارة المحتوى الأكثر شيوعًا (CMS) على الويب تحمي فعليًا كلمات مرور المستخدمين باستخدام خوارزميات غير آمنة.
تم إجراء البحث من قبل ثلاثة باحثين من قسم الأنظمة الرقمية بجامعة بيرايوس باليونان قاموا باختبار شامل لعدد من أنظمة إدارة المحتوى (CMS) ، فقط للتأكد من مدى جودة هذه الأنظمة لكلمات المرور.
بالنسبة لأولئك منكم الذين لا يزالون جددًا في تجزئة كلمات المرور ، فهي في الأساس دالة رياضية تحول كلمة المرور الخاصة بك إلى رمز. تعمل هذه العملية كشارع أحادي الاتجاه يتم فيه تحويل السلسلة الأبجدية الرقمية مثل كلمة المرور الخاصة بك إلى سلسلة أخرى تسمى digest. بمجرد القيام بذلك ، يمكن لشخص ما حساب الخلاصة من كلمة المرور ولكن يصبح من المستحيل حساب كلمة المرور باستخدام الخلاصة.
تعرض هذه الوظيفة قيمتها مباشرة في الوقت الذي يقوم فيه المستخدمون بتسجيل الدخول بتفاصيل بيانات الاعتماد الخاصة بهم ، ويقوم تطبيق الويب بتجزئة كلمة المرور في الحال ومطابقتها مع الملخص الدائم. وبالتالي ، إذا اقتحم المتسللون قاعدة بيانات كلمات المرور ، فلن يتمكنوا من استخراج الكثير من المعلومات.
كشفت الأخبار الأخيرة أن أنظمة CMS الحديثة تستخدم وظائف تجزئة قديمة وبسبب هذا ، فإن خصوصية المستخدمين والمحتوى نفسه في خطر كبير.
بالتفصيل في التفاصيل التي أوضحوا أنه لا يمكن لجميع وظائف التجزئة أن تعمل بشكل جيد على قدم المساواة. اكتشف الباحثون أن MD5 و SHA-1 كانا دائما السبب الرئيسي وراء هذا الضعف. من المفترض أن تنشئ دالة التجزئة الفعالة خلاصة فريدة لكل إدخال مختلف من قبل المستخدم. سيؤدي القيام بذلك إلى التأكد من عدم إنتاج كلمتين من كلمات المرور نفسها ولكن حدث ذلك مع أول هجوم تصادم ناجح ضد MD5 في عام 1996 وكيف أصبحت تصادمات MD5 أكثر شيوعًا الآن.
من ناحية أخرى ، تم اعتبار SHA-1 بديلاً عبقريًا لـ MD5 ولكن فقط إلى أن أصبح قديمًا تمامًا.
درس الفريق 49 نظامًا لإدارة المحتوى و 47 إطارًا لتطبيق الويب. في النتائج النهائية ، ثبت أن 26.5 ٪ منهم يستخدمون MD5. تضمنت هذه القائمة osCommerce و SuiteCRM و WordPress و X3cms و SugarCRM و CMS Made simple و MantisBT و Simple Machines و miniBB و Phorum و MyBB و Observium و Composr. بينما استخدم 12.2٪ منهم SHA-1. مع GetSimple CMS و Redmine و Collabtive و PunBB و Pligg و Omeka.
أسوأ ما في الأمر هو أن هجمات التصادم ليست هي الخطر الوحيد الذي يتهدد وظائف التجزئة. يمكن أيضًا استهداف وحدات المعالجة الرسومية ، التي تقسم في النهاية قوة المعالجة إلى العديد من مراكز المعالجة. علاوة على ذلك ، فإن المواقع التي لديها سياسات كلمة مرور فضفاضة وليس ملح ، كانت هناك تكرارات عشوائية عشوائية أيضًا.
هذا يقودنا إلى جانب آخر مهم من الكلمات الرئيسية المعلقة - الملح. إنها سلسلة عشوائية من البيانات تعتمد على تجزئة مختلفة لكلمات المرور المماثلة. تمتزج وظيفة هاش مع الملح مرارا وتكرارا لجعل كلمة المرور آمنة ومعالجة مكلفة حسابيا. وتسمى كل من هذه الجولات التي تمتزج التجزئة مع الملح التكرار.
إذا كان عدد التكرارات أكبر ، فسيصبح من الصعب بعض الشيء على أجهزة الكمبيوتر التي تعمل على كسر كلمات المرور تطوير مطابقات كلمة المرور بوتيرة سريعة.
تحتوي بعض الأنظمة قيد النظر على wMD5 أو SHA-1 ، لكنها لا تزال في خطر بعدم استخدام الملح أو التكرار. تضمنت القائمة أسماء كبيرة مثل X3cms 0.5.3 و GetSimple و MiniBB 3.2.2 و Phorum.
بينما ، على الجانب الآخر ، كانت أنظمة CMS الأكثر أمانًا من منظور التجزئة محمية بواسطة bcrypt - وظيفة تجزئة كلمة المرور المقاومة لشقوق الحوسبة المتوازية القائمة على GPU. في هذه القائمة اللطيفة ، اكتشف الباحثون أنظمة مثل Joomla و Zurmo و OrangeHRM و SilverStripe و Elgg و XOOPS و e107 و NodeBB و Concrete5 و phpBB و Vanilla Forums و Ushahidi و Lime Survey و Mahara و Mibew و vBulletin و OpenCart و PrestaShop و موودل.
يحدد هذا الضعف في التجزئة بشكل عام مدى سرعة وصول المهاجم إلى قاعدة بيانات كلمة المرور لسرقة التفاصيل أو تخمين كلمات المرور أثناء محاولة تسجيل الدخول. وبالتالي ، لا تزال هناك حاجة إلى تجديد شامل لسلامة المستخدمين والمحتوى كذلك.