Studie: Programmierer schlampen bei der Passwortsicherheit

Eine Studie (PDF) des Instituts für Informatik 4 der Universität Bonn hat ergeben, dass freiberufliche Programmierer von sich aus nicht immer Regeln für das sichere Speichern von Passwörtern befolgen. Bei einem Test mit 43 Entwicklern gingen viele den einfachen Weg und speicherten Kennwörter ohne eine ausreichenden Schutz vor Diebstahl und unberechtigten Zugriffen.

Für die Studie baten die Forscherinnen Alena Naiakshina, Anastasia Danilova und Eva Gerlitz sowie Emanuel Zezschwitz und Matthew Smith vom Fraunhofer FKIE 260 freie Java-Programmierer über die Plattform Freelancer.com, ein Registrierungssystem für Nutzer eines angeblichen Sozialen Netzwerks zu erstellen. 43 Freiberufler nahmen den Auftrag an und entwickelten auf Basis von Java, JSF, Hibernate und PostgreSQL eine Registrierungssystem.

Die Hälfte der Auftragnehmer sollte den Job für 100 Euro erledigen – der anderen Hälfte boten die Forscher 200 Euro. Ziel war es, herauszufinden, ob die Höhe der Bezahlung Einfluss auf die Implementierung von Sicherheitsfunktionen hat. Darüber hinaus forderten sie wieder jeweils die Hälfte jeder Gruppe auf, die Passwörter sicher zu speichern. Die andere Hälfte erhielt indes keine Vorgaben zur Passwortsicherheit.

Ihren Code lieferten die Entwickler nach ein bis fünf Tagen ab. 18 Programmierer mussten den Code jedoch überarbeiten, da er eine Speicherung von Passwörtern im Klartext vorsah. Von diesen 18 Programmierern hatten 15 den Auftrag ohne Sicherheitsvorgaben erhalten. Drei Entwickler ignorierten zudem die Anforderungen der Forscher. Daraus leiten sie nun ab, dass freiberufliche Entwickler nicht automatisch auch an die Sicherheit denken, wenn sie Code schreiben.

Auch beim Verständnis, was als sicher eingestuft werden kann, gibt es der Studie zufolge unterschiedliche Auffassungen. Von den schließlich 43 Registrierungssystemen basierten lediglich zwölf auf Verschlüsselungstechniken, die allgemein als sicher angesehen werden. Der Code der anderen 31 Entwickler nutzte indes Verfahren wie Base64, MD5, SHA-1, 3DES oder AES.

„Viele Teilnehmer nutzten Hashing und Verschlüsselung als Synonyme“, heißt es in dem Forschungsbericht. Drei Entwickler hätten Base64 gar als Verschlüsselungsalgorithmus angesehen, obwohl es lediglich ein Kodierungsverfahren sei. Zehn Teilnehmer verließen sich indes auf die Hashfunktion MD5, die ebenfalls nicht der vorgegebenen Verschlüsselung entspricht.

Die Forscher fanden zudem heraus, dass 17 der 43 Entwickler von anderen Websites kopierten Code verwendeten. Daraus folgern sie, dass diesen Programmierern das notwendige Wissen für die Erstellung eines sicheren Passwortsystems fehlte. Die Studie ergab außerdem, dass die höhere Bezahlung nur einen sehr geringen Einfluss auf die Qualität der abgelieferten Arbeit hatte.

Ähnliche Studien wurden bereits 2017 und 2018 durchgeführt, jedoch mit Studenten und nicht mit selbstständigen Programmierern. Erste schnitten in den vergangenen Jahren jedoch nicht besser ab als aktuelle Entwickler.

Whitepaper

Studie zu Filesharing im Unternehmen: Kollaboration im sicheren und skalierbaren Umfeld

Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

18 Stunden ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

19 Stunden ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

1 Tag ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

2 Tagen ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

2 Tagen ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

2 Tagen ago