Studie: Programmierer schlampen bei der Passwortsicherheit

Eine Studie (PDF) des Instituts für Informatik 4 der Universität Bonn hat ergeben, dass freiberufliche Programmierer von sich aus nicht immer Regeln für das sichere Speichern von Passwörtern befolgen. Bei einem Test mit 43 Entwicklern gingen viele den einfachen Weg und speicherten Kennwörter ohne eine ausreichenden Schutz vor Diebstahl und unberechtigten Zugriffen.

Für die Studie baten die Forscherinnen Alena Naiakshina, Anastasia Danilova und Eva Gerlitz sowie Emanuel Zezschwitz und Matthew Smith vom Fraunhofer FKIE 260 freie Java-Programmierer über die Plattform Freelancer.com, ein Registrierungssystem für Nutzer eines angeblichen Sozialen Netzwerks zu erstellen. 43 Freiberufler nahmen den Auftrag an und entwickelten auf Basis von Java, JSF, Hibernate und PostgreSQL eine Registrierungssystem.

Die Hälfte der Auftragnehmer sollte den Job für 100 Euro erledigen – der anderen Hälfte boten die Forscher 200 Euro. Ziel war es, herauszufinden, ob die Höhe der Bezahlung Einfluss auf die Implementierung von Sicherheitsfunktionen hat. Darüber hinaus forderten sie wieder jeweils die Hälfte jeder Gruppe auf, die Passwörter sicher zu speichern. Die andere Hälfte erhielt indes keine Vorgaben zur Passwortsicherheit.

Ihren Code lieferten die Entwickler nach ein bis fünf Tagen ab. 18 Programmierer mussten den Code jedoch überarbeiten, da er eine Speicherung von Passwörtern im Klartext vorsah. Von diesen 18 Programmierern hatten 15 den Auftrag ohne Sicherheitsvorgaben erhalten. Drei Entwickler ignorierten zudem die Anforderungen der Forscher. Daraus leiten sie nun ab, dass freiberufliche Entwickler nicht automatisch auch an die Sicherheit denken, wenn sie Code schreiben.

Auch beim Verständnis, was als sicher eingestuft werden kann, gibt es der Studie zufolge unterschiedliche Auffassungen. Von den schließlich 43 Registrierungssystemen basierten lediglich zwölf auf Verschlüsselungstechniken, die allgemein als sicher angesehen werden. Der Code der anderen 31 Entwickler nutzte indes Verfahren wie Base64, MD5, SHA-1, 3DES oder AES.

„Viele Teilnehmer nutzten Hashing und Verschlüsselung als Synonyme“, heißt es in dem Forschungsbericht. Drei Entwickler hätten Base64 gar als Verschlüsselungsalgorithmus angesehen, obwohl es lediglich ein Kodierungsverfahren sei. Zehn Teilnehmer verließen sich indes auf die Hashfunktion MD5, die ebenfalls nicht der vorgegebenen Verschlüsselung entspricht.

Die Forscher fanden zudem heraus, dass 17 der 43 Entwickler von anderen Websites kopierten Code verwendeten. Daraus folgern sie, dass diesen Programmierern das notwendige Wissen für die Erstellung eines sicheren Passwortsystems fehlte. Die Studie ergab außerdem, dass die höhere Bezahlung nur einen sehr geringen Einfluss auf die Qualität der abgelieferten Arbeit hatte.

Ähnliche Studien wurden bereits 2017 und 2018 durchgeführt, jedoch mit Studenten und nicht mit selbstständigen Programmierern. Erste schnitten in den vergangenen Jahren jedoch nicht besser ab als aktuelle Entwickler.

Whitepaper

Studie zu Filesharing im Unternehmen: Kollaboration im sicheren und skalierbaren Umfeld

Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

KI-gestütztes Programmieren bringt IT-Herausforderungen mit sich

OutSystems-Studie: 62 Prozent der Befragten haben Sicherheits- und Governance-Bedenken bei Softwareentwicklung mit KI-Unterstützung.

1 Tag ago

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

4 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

5 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

5 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

5 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

6 Tagen ago