تقول الدراسة التي أجراها باحثون في جامعة Pirée باليونان نشرت في مجلة ScienceDirect أن غالبية أنظمة إدارة المحتوى (CMS) التي تعتبر واحدة من أسرع الطرق لإنشاء ونشر مواقع الويب والتي تستخدم على نطاق واسع بها العديد من المشكلات التي تؤثر على أمانها.

وخلص تحليل مخططات تجزئة كلمة المرور على منصات الويب مفتوحة المصدر هذه إلى عدة استنتاجات مفادها أن العديد من CMS تستخدم وظائف تجزئة قديمة وهو رقم تعسفي من تكرارات التجزئة بما في ذلك WordPress الذي يستخدم دائما MD5 مع عدد قليل من التكرار التجزئة.

وأشارت الدراسة إلى أن أكثر من ربع أنظمة إدارة المحتوى الرئيسية (CMS) تستخدم نظام تجزئة MD5 القديم افتراضيًا لتأمين كلمات مرور المستخدم وتخزينها. هذا يعني أنه في حالة عدم تغيير مالكي مواقع الويب هذه الإعدادات الافتراضية عن طريق تعديل الكود المصدر لنظام إدارة المحتوى فإن معظم مواقع الويب المبنية على نظام إدارة المحتوى هذه تعرض كلمة مرور المستخدم للخطر إذا سرق أحد المتطفلين كلمة المرور قاعدة بيانات الموقع.

وتعتبر تجزئة كلمة المرور عملية تحويل النص إلى كلمة مرور يوفرها المستخدم إلى مزيج من الأحرف العشوائية التي تبدو مخزنة في قاعدة بيانات دون الكشف عن كلمة المرور الفعلية للمستخدم. وعادةً ما تتضمن مخططات تجزئة كلمة المرور ثلاثة أشياء: دالة تجزئة كلمة المرور والتكرار وسلسلة الملح. على سبيل المثال يمكن استخدام الدالات MD5 أو SHA1 أو SHA256 أو SHA512 أو PBKDF2 أو BCRYPT أو SCRYPT أو Argon2 في تكوين كلمة مرور. كلما زادت التكرارات زادت صعوبة قلب المهاجم للخوارزمية باستخدام مقدار كبير من الحساب.

تشير الدراسة إلى أن وظائف التجزئة التي تعتبر ضعيفة هي تلك التي تعتبر وظائف تجزئة مقطوعة بالفعل مثل MD5 و SHA1. على عكس هذه فإن وظائف التجزئة القوية هي أنظمة معقدة للغاية وأحدث مثل BCRYPT و SCRYPT و Argon2. ووفقًا للتقرير فما يقرب من 60 ٪ من CMS التي نظرت فيها الدراسة تستخدم وظيفة تجزئة ضعيفة مثل MD5 أو SHA1 أو وظائف تجزئة مثل SHA256 ، SHA512 ، PBKDF2 التي يمكن أن تكون متوازية للغاية مع أجهزة GPU ، مما يسمح للمهاجم لتخمين كلمة المرور بسهولة أكبر. ويستخدم الباقي وظيفة MHF (وظيفة الذاكرة الثابتة) بما في ذلك BCRYPT وتشمل Joomla و phpBB و Vanilla Forums و vBulletin و SilverStripe وغيرها.

المصدر : ScienceDirect

مواضيع ذات صلة
اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني.