研究显示开发人员如何处理安全密码存储

Freelance Developers Password Storage

开始一个旨在与Facebook竞争的新社交网络并不困难。所有你需要的是坚定的信念,你比马克扎克伯格更聪明,口袋里有一些现金。简单来说,程序如下:你记下这个想法,去一个自由开发者提供服务的网站,支付相对较少的钱,等待成品。

虽然您最终将对您未来的社交网络所做的一切负责,但您不需要对技术术语中幕后发生的事情有最微妙的了解。在过去的几年里,德国波恩大学的科学家一直在思考现代世界这种特殊性对安全的影响。

学生有很多东西需要学习

2017年,蛋头队包括Alena Naiakshina,Marco Herzog,Anastasia Danilova,Christian Tiefenau,Sergej Dechand和Matthew Smith,他们急切地想知道如果他们让20名计算机科学专业的学生设计和开发注册系统会发生什么。对于社交网络。科学家们想看看每个学生将如何存储用户的密码。

每天泄露的大量数据表明,许多大型和小型在线服务提供商都在努力克服安全密码存储的概念,波恩大学的研究人员希望看到更多的学生在这方面胜任。它不是。

学生分成两组。第一个接收到的任务描述没有以任何方式提及“安全性”这个词,其目的是看测试对象是否会自己想出保持用户安全的优先级列表。该组中只有两名学生试图安全地存储人们的密码,但最终他们认为工作太多,最终选择了纯文本存储。

第二组测试对象明确告知他们的注册表必须是安全的。虽然一些豚鼠确实做对了,但有些努力并不令人印象深刻。实际上,实验后的访谈显示,学生对安全密码存储存在严重误解。一些测试对象确信使用MD5散列密码是一个好主意,而其他测试对象告诉研究人员,仅仅存在HTTPS应该保证用户安全。

简而言之,结果并不十分令人鼓舞,但科学家很快意识到实验存在缺陷。测试对象知道他们的工作用于研究目的. 他们知道他们的系统永远不会负责处理真人的数据,他们中的一些人说,如果他们正在处理一个真实的项目,他们会表现得不同。

“真正的”项目,真正的开发人员,相同的结果

几个月前,Alena Naiakshina,Anastasia Danilova和Matthew Smith与波恩大学的另外两名研究人员Emanuel von Zezschwitz和Eva Gerlitz合作,并着手扩大2017年的研究 。该团队有两个主要目标。

首先,专家们希望看到测试对象如果不知道他们是实验的一部分会如何反应。其次,他们想要了解创建Web应用程序的人员如何处理用户的密码。

因此,科学家们从Freelancer.com挑选了一些开发人员,而不是招募学生,他们每人支付100欧元(113美元)到200欧元(226美元)之间的费用,假装是一个对聪明的新社交有创新想法的客户网络。这一次,研究人员有专业的开发人员,他们认为他们正在研究真实的项目。理论上,结果应该有很大不同。不幸的是,他们不是。

再一次,测试对象被分成两组 - 一组专门被指示创建一个安全的系统,另一组被要求组建一个社交媒体平台。虽然一些人没有被告知增加了密码保护机制,但大多数人都没有打扰,当研究人员推动他们设计更安全的东西时,由于额外的工作,他们要求额外的钱。

谈到保护机制的类型,调查结果更令人担忧。除了MD5和SHA1之外,一些开发人员使用Base64来模糊密码。这与实验前后的访谈相结合,表明自由开发者很难区分简单的密码概念,如“哈希”,“加密”和“编码”

请记住,这些人是设计和开发应用程序并每天处理数百万个密码的人。我们一直都知道并非所有人都能正确地做到这一点,但最近的研究表明事情可能比我们想象的要糟糕。真正的坏消息是,除了照顾我们自己的密码卫生外 ,我们无能为力。

April 2, 2019

发表评论

重要!若要继续到下一步,请完成以下简单的数学问题。
Please leave these two fields as is:
6 + 10是什么?