Mashhur CMS-lar MD5-dan foydalanadi va bitta belgidan iborat parollarga ruxsat beradi
Agar ushbu CMS bilan ishlaydigan veb-saytlarning ma’lumotlar bazalari o’g’irlansa, foydalanuvchi parollari xavf ostida bo’ladi.
Eng mashhur kontentni boshqarish tizimlarining (CMS) to’rtdan biridan ko’prog’i parol xavfsizligini ta’minlash uchun eskirgan MD5 xesh algoritmidan foydalanadi. Bularga WordPress, osCommerce, SuiteCRM, Simple Machines Forum, miniBB, MyBB, SugarCRM, CMS Made Simple, MantisBT, Phorum, Observium, X3cms va Composr kiradi. Agar ushbu tizimlar bilan ishlaydigan veb-sayt egalari CMS manba kodini o’zgartirish orqali standart sozlamalarni o’zgartirmasalar, foydalanuvchi parollari osongina shifrlanishi mumkin (agar tajovuzkorlar sayt ma’lumotlar bazalarini o’g’irlasa). Pirey universiteti (Gretsiya) tadqiqotchilari 49 ta mashhur CMS-larni o‘rganib, ularning standart parolni saqlash mexanizmiga alohida e’tibor qaratdilar. Ma’lum bo’lishicha, ularning 60 foizi zaif MD5 va SHA1 shifrlash algoritmlaridan yoki GPU yordamida yorilish mumkin bo’lgan SHA256, SHA512 va PBKDF2 funksiyalaridan foydalangan.
MHF (xotira qattiq funktsiyasi) bo’lgan barcha CMSlarning 40,82% BCRYPT-dan foydalanadi, jumladan Joomla, phpBB, Vanilla Forums, vBulletin va SilverStripe. Hech qanday loyiha SCRYPT yoki Argon2 dan foydalanmaydi. SCRYPT loyihasida mahalliy PHP kutubxonasi mavjud emas. Aksariyat CMS-lar PHP-da yozilgan bo’lib, SCRYPT-ni qo’llab-quvvatlashni imkonsiz qiladi. Argon2 xususiyati PHP 7.2 da yaqinda qo’shilgan, shuning uchun uni joylashtirish vaqt talab etadi.
Tadqiqotchilar tomonidan o’rganilgan CMSlarning 14,29% tuzdan foydalanmaydi. Bundan tashqari, tizimlarning 36,73 foizi hash funksiyalari uchun iteratsiyadan foydalanmaydi, bu esa foydalanuvchi parollarini buzish xarajatlarini sezilarli darajada kamaytiradi. 38,78% CMS parollar uchun minimal belgilar uzunligi talablarini belgilamaydi. Misol uchun, WordPress va Drupal parollarni bir belgidan iborat bo’lishiga imkon beradi.
