อยากให้ปลอดภัยต้องเอ่ยปาก งานวิจัยพบฟรีแลนซ์มักเก็บรหัสผ่านไม่เข้ารหัส แต่ทำให้ดีได้หาผู้ว่าจ้างร้องขอ

2019-03-08

รายงานเว็บที่เก็บรหัสผ่านโดยไม่เข้ารหัส (plaintext) นั้นมักมีรายงานเป็นระยะเมื่อมีเว็บใหญ่ๆ ที่มีความสำคัญ ถูกพบว่าเก็บรหัสผ่านอย่างไม่ปลอดภัย อย่างไรก็ตามรายงานการศึกษาจากทีมวิจัยมหาวิทยาลัย Bonn ในเยอรมันพบว่าตัวแปรสำคัญคือผู้ว่าจ้างร้องขอให้โปรแกรมเมอร์เก็บรหัสผ่านให้ปลอดภัย

การศึกษานี้ทีมงานแสดงตัวเป็นสตาร์ตอัพจ้างโปรแกรมเมอร์ฟรีแลนซ์ 43 รายให้ทำเว็บโซเชียลเน็ตเวิร์ค โดยแบ่งกลุ่มใน 2 เงื่อนไข คือ อัตราค่าจ้าง 100 ยูโรหรือ 200 ยูโร และการแจ้งเงื่อนไขว่าต้องเก็บรหัสผ่านให้ปลอดภัยหรือไม่บอก

รายงานพบว่าเมื่อแจ้งฟรีแลนซ์ให้เข้าเก็บรหัสผ่านให้ปลอดภัย โครงการที่ได้รับกว่าครึ่งปลอดภัยตั้งแต่ครั้งแรก ขณะที่กลุ่มที่ไม่ได้แจ้งล่วงหน้าเก็บรหัสผ่านไม่ปลอดภัยเป็นส่วนใหญ่ โดยราคาค่าจ้างไม่ได้มีผลชัดเจนนัก (แต่อาจจะเพราะกลุ่มตัวอย่างเล็กเกินไป) ขณะที่โปรแกรมเมอร์ที่พยาายามเก็บรหัสผ่านให้ปลอดภัยไม่เข้าใจแนวคิดของการแฮชเพียงพอ หลายคนสับสนระหว่างการแฮชและการเข้ารหัสลับแบบสมมาตร บางคนเข้าใจผิดไปใช้การเข้ารหัส base64

กลุ่มที่ส่งโค้ดที่เก็บรหัสผ่านไม่ปลอดภัย สามารถปรับปรุงแก้ไขโค้ดภายหลังให้มีความปลอดภัยขึ้นมาได้

ก่อนหน้านี้เคยมีการศึกษารูปแบบคล้ายกันแต่เป็นการบอกให้นักศึกษาส่งงาน ซึ่งนักศึกษาคาดว่าโค้ดจะไม่ได้ถูกใช้งานจริง อย่างไรก็ตามการศึกษาชิ้นนี้พบว่าแม้แต่โปรแกรมเมอร์ฟรีแลนซ์ที่คาดว่าโค้ดจะถูกนำไปใช้จริงก็ให้คุณภาพไม่ต่างกันนัก การกำหนดสเปคให้ชัดเจนจึงมีความสำคัญ

ที่มา – uni-bonn.de

No Description

ภาพโดย garalt

Topics: