Overslaan en naar de inhoud gaan

'Freelance developers hebben weinig oog voor veiligheid'

Freelance-ontwikkelaars moet expliciet verteld worden dat zij wachtwoorden versleuteld moeten opslaan, anders kiezen ze de makkelijkste, maar onveilige optie.
Code
© CC0 - Pixabay
CC0 - Pixabay

Die harde conclusie trekken onderzoekers van de universiteit van Bonn uit een experiment waarvoor zij 260 Java-programmeurs vroegen een gebruikersregistratieprogramma te ontwikkelen voor een sociaal netwerk. Uiteindelijk gingen 43 programmeurs van Freelance.com op het aanbod in.

De onderzoekers boden de helft van de groep 100 euro voor de klus, de anderen kregen 200 euro. Beiden groepen werden nogmaals in tweeën gedeeld, waarbij de ene helft bij de instructies te horen kreeg dat ze het registratiesysteem moesten inrichten naar eigen inzicht, de anderen kregen expliciet de opdracht mee een veilig systeem te bouwen.

De onderzoekers moesten 18 van de 43 ontwikkelaars vragen het registratiedeel opnieuw te schrijven omdat zij de wachtwoorden gewoon in platte tekst door het systeem lieten wegschrijven. Van deze groep kwamen er 15 uit de subgroep die het systeem naar eigen inzicht hadden mogen inrichten, ofwel drie kwart van de ontwikkelaars ziet niet van nature de noodzaak om wachtwoorden veilig weg te schrijven. Erger nog drie van de groep van twintig die wel was opgedragen het systeem veilig te ontwikkelen, lieten het uiteindelijk toch de wachtwoorden in platte tekst wegschrijven.

Geld speelt geen rol

Nadat uiteindelijk alle ontwikkelaars de wachtwoorden hadden beveiligd, bleken slechts 13 van de 43 een encryptiemethode te hebben gekozen die algemeen als veilig wordt gezien (PBKDF2 en Bcrypt). Ook constateerden de onderzoekers dat de 17 van de 43 de code één op één hadden gekopieerd van internetsites, wat op zijn minst de suggestie wekt dat ze niet in staat waren de code helemaal zelf te schrijven. Het maakte niet veel uit of de ontwikkelaars meer of minder werden betaald.

De onderzoekers raden iedereen aan die software laat ontwikkelen door freelancers, de ontwikkelaars expliciet te wijzen op de noodzaak veiligheid in te bouwen.

 

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in