研究顯示開發人員如何處理安全密碼存儲

開始一個旨在與Facebook競爭的新社交網絡並不困難。所有你需要的是堅定的信念，你比馬克扎克伯格更聰明，口袋裡有一些現金。簡單來說，程序如下：你記下這個想法，去一個自由開發者提供服務的網站，支付相對較少的錢，等待成品。

雖然您最終將對您未來的社交網絡所做的一切負責，但您不需要對技術術語中幕後發生的事情有最微妙的了解。在過去的幾年裡，德國波恩大學的科學家一直在思考現代世界這種特殊性對安全的影響。

學生有很多東西需要學習

2017年，蛋頭隊包括Alena Naiakshina，Marco Herzog，Anastasia Danilova，Christian Tiefenau，Sergej Dechand和Matthew Smith，他們急切地想知道如果他們讓20名計算機科學專業的學生設計和開發註冊系統會發生什麼。對於社交網絡。科學家們想看看每個學生將如何存儲用戶的密碼。

每天洩露的大量數據表明，許多大型和小型在線服務提供商都在努力克服安全密碼存儲的概念，波恩大學的研究人員希望看到更多的學生在這方面勝任。它不是。

學生分成兩組。第一個接收到的任務描述沒有以任何方式提及“安全性”這個詞，其目的是看測試對像是否會自己想出保持用戶安全的優先級列表。該組中只有兩名學生試圖安全地存儲人們的密碼，但最終他們認為工作太多，最終選擇了純文本存儲。

第二組測試對像明確告知他們的註冊表必須是安全的。雖然一些豚鼠確實做對了，但有些努力並不令人印象深刻。實際上，實驗後的訪談顯示，學生對安全密碼存儲存在嚴重誤解。一些測試對象確信使用MD5散列密碼是一個好主意，而其他測試對象告訴研究人員，僅僅存在HTTPS應該保證用戶安全。

簡而言之，結果並不十分令人鼓舞，但科學家很快意識到實驗存在缺陷。測試對象知道他們的工作用於研究目的. 他們知道他們的系統永遠不會負責處理真人的數據，他們中的一些人說，如果他們正在處理一個真實的項目，他們會表現得不同。

“真正的”項目，真正的開發人員，相同的結果

幾個月前，Alena Naiakshina，Anastasia Danilova和Matthew Smith與波恩大學的另外兩位研究人員Emanuel von Zezschwitz和Eva Gerlitz合作，並著手擴大2017年的研究 。該團隊有兩個主要目標。

首先，專家們希望看到測試對像如果不知道他們是實驗的一部分會如何反應。其次，他們想要了解創建Web應用程序的人員如何處理用戶的密碼。

因此，科學家們從Freelancer.com挑選了一些開發人員，而不是招募學生，他們每人支付100歐元（113美元）到200歐元（226美元）之間的費用，假裝是一個對聰明的新社交有創新想法的客戶網絡。這一次，研究人員有專業的開發人員，他們認為他們正在研究真實的項目。理論上，結果應該有很大不同。不幸的是，他們不是。

再一次，測試對像被分成兩組 - 一組專門被指示創建一個安全的系統，另一組被要求組建一個社交媒體平台。雖然一些人沒有被告知增加了密碼保護機制，但大多數人都沒有打擾，當研究人員推動他們設計更安全的東西時，由於額外的工作，他們要求額外的錢。

談到保護機制的類型，調查結果更令人擔憂。除了MD5和SHA1之外，一些開發人員使用Base64來模糊密碼。這與實驗前後的訪談相結合，表明自由開發者很難區分簡單的密碼概念，如“哈希”，“加密”和“編碼” 。

請記住，這些人是設計和開發應用程序並每天處理數百萬個密碼的人。我們一直都知道並非所有人都能正確地做到這一點，但最近的研究表明事情可能比我們想像的要糟糕。真正的壞消息是，除了照顧我們自己的密碼衛生外 ，我們無能為力。