Come verificare un prodotto open source per la gestione della password?

0

Ho appena creato un account su Magento Commerce , che è una soluzione di negozio online.

Durante la creazione dell'account, ho inserito una password. Personalmente preferisco le password generate più a lungo che non contengono caratteri speciali, poiché i caratteri speciali si trovano in luoghi diversi, a seconda delle impostazioni locali della tastiera e caratteri speciali non funzionano bene su più connessioni desktop remote.

Come non mi è stato permesso di usare una password di 24 caratteri come questa, ho letto sui requisiti della password:

Le politiche sono abbastanza forti:

  • 1 lettera maiuscola
  • 1 numero
  • 1 carattere speciale
  • lunghezza minima di 8 caratteri
  • ma poi mi sono chiesto perché ci sia una lunghezza massima di 16 caratteri

Fondamentalmente conosco Lunghezza e complessità della password , quindi la mia domanda è non se i loro requisiti danno una qualità di password superiore alla mia.

La domanda è: poiché considero l'utilizzo del prodotto e ho la sensazione che la comprensione della sicurezza della password da parte degli sviluppatori del prodotto possa essere (parzialmente) errata, quali sono le prime cose che dovrei controllare?

Non sto cercando una risposta specifica per Magento. Mi piacerebbe sapere l'approccio generale per un tale controllo, ad es. per qualsiasi prodotto open source.

    
posta Thomas Weller 13.10.2015 - 00:04
fonte

1 risposta

3

Sebbene i requisiti della password possano aiutare leggermente a capire come quel particolare sistema potrebbe gestirli, è solo la punta dell'iceberg. È vero: avere una lunghezza massima per una password solleva alcuni flag che qualcosa non va bene. Tuttavia ci potrebbero essere altre ragioni (come la cattiva documentazione?).

Anche se disponi delle politiche perfette, nulla ti garantirà che non stanno utilizzando algoritmi o cattive pratiche deboli che possono portare a gravi problemi di sicurezza. L'unico modo (IMO) è controllare il codice da soli. Nel caso in cui non si capisca il loro codice, è meglio attenersi ai progetti più attivi (e con più contributori). È anche una buona idea controllare i resoconti delle vulnerabilità sul progetto, sapere chi c'è dietro il suo sviluppo, chiedere nei loro forum o mailing list e molto importante, quanto nuovo è il codice: alcuni progetti OS sono basati su codice veramente vecchio (che potrebbe essere vulnerabile a nuove tecniche di attacco o utilizzare algoritmi deprecati), o nell'altro lato, i progetti molto nuovi potrebbero comportare alcuni rischi in quanto non sono stati testati abbastanza.

In sintesi, sarei più preoccupato delle politiche di sicurezza generali rispetto a come sono archiviate le password.

UPDATE (su Magento)

Ho controllato i loro codici e ho trovato ad esempio uno delle loro interfacce di crittografia .

Le password sembrano essere memorizzate usando "sha256" con un fall-back su "md5" (se questa impostazione è attiva). In questo caso, la lunghezza massima di 16 caratteri potrebbe essere correlata alla GUI o ad altri motivi (forse per consentire impostazioni ed estensioni personalizzate).

Il progetto Magento sembra essere ben codificato e ha una strong community. che mi fa presumere che la sua sicurezza sia superiore alla media . La loro attuale implementazione di hashing della password non è la migliore, ma non è la peggiore - vedi i commenti qui sotto, quindi non fidarti del 100%. Non esiste un sistema perfetto e tutti i progetti del SO sono vulnerabili (come gli hacker possono vedere il suo codice), ma come forse saprai, i progetti di origine non sono esenti da vulnerabilità.

Ti consiglierei di chiedere loro direttamente il motivo del limite di 16 caratteri. Sono sicuro che possono darti una spiegazione più dettagliata.

    
risposta data 13.10.2015 - 02:52
fonte

Leggi altre domande sui tag