Следующая новость
Предыдущая новость

Исследователи изучили, как веб-сервисы регулируют пароли пользователей

16.02.2019 1:23
Исследователи изучили, как веб-сервисы регулируют пароли пользователей

Рекомендуем почитать:

Xakep #238. Забытый Android

  • Содержание выпуска
  • Подписка на «Хакер»

Специалисты компании Digital Security протестировали парольные политики 157 веб-сервисов, включая социальные сети, почтовые клиенты, облачные хранилища и интернет-банкинг. Эксперты выяснили, какие сайты предъявляют самые строгие правила к созданию паролей и таким образом являются потенциально безопасными; какие рекомендации по защите аккаунтов даются пользователям и при использовании каких сайтов пользователь, скорее всего, станет жертвой злоумышленника.

Исследователи предъявляли следующие требования к изучаемым паролям:

  • пароль должен быть длиннее 8 символов;
  • пароль должен содержать цифры, заглавные и строчные буквы;
  • пароль не должен быть похожим на логин.

Помимо этого учитывалось, что сервисы должны давать общие рекомендации по сложности пароля пользователям и не позволять регистрироваться ни с одной из тестируемых комбинаций символов. Для тестирования возможности установки простых паролей были выбраны пароли из нескольких известных словарей, включая RockYou и Топ-10000 самых плохих паролей.

В итоге были протестированы следующие группы сервисов: почтовые сервисы, социальные сети, электронная коммерция, платежные сервисы, игровые сервисы, криптовалюта, хранение данных, совместная разработка, хостинг, парольные менеджеры, новостные сервисы, развлекательные ресурсы, блоги и форумы, интернет-банкинг.

По результатам тестирования сервисам начислялись баллы, на основе которых составлялся рейтинг: максимум — 11,5 баллов. Так, оказалось, что игровые сервисы со временем (проводилось сравнение с аналогичным исследованием 2015 года) стали лучше заботиться о парольных политиках, в отличие от платежных систем. А социальные сети практически не контролируют создание паролей пользователями, что в результате приводит к повышенному риску взлома. Например, Facebook заработал 8 баллов из возможных 11,5 и занял первое место среди протестированных соцсетей, на втором — StackExchange, на третьем месте — «Одноклассники», на четвертом — Tinder, пятое — Instagram, шестое — Twitter, и только на седьмом месте расположился «ВКонтакте».

Прошли проверку также и почтовые сервисы. Они оказались лидерами по безопасности парольных политик. Их рейтинг выглядит так: Outlook — 10 баллов, Gmail — 9 баллов, Mail и Yahoo — 7,5 баллов, Яндекс — 6 баллов, Рамблер — 1,5 балла.

Победитель прошлого рейтинга платежных сервисов, WebMoney, в этот раз заработал -0,5 и сместился на последнее место, а первое место занял Skrill.

Исследователи изучили, как веб-сервисы регулируют пароли пользователей

Исследователи подчеркивают, что зарубежные сервисы уделяют настройкам паролей больше внимания, чем российские. В случаях, когда сайты не предоставляют никаких рекомендаций по созданию паролей, ответственность за это полностью лежит на пользователе. Если же пользователь регистрирует слабый пароль, то вероятность хакерской атаки на его аккаунт возрастает в разы.

«В тестировании сервисов учитывались разные показатели к требованию паролей от веб-сервисов: длина пароля и его содержание, предлагает ли сайт рекомендации по созданию пароля, какими правилами должен руководствоваться пользователь при выборе комбинаций символов, возможно ли зарегистрироваться на сайте со слабым или словарным паролем, есть ли механизмы от несанкционированной авторизации, возможно ли совпадение логина и почты, какие ограничения используют сервисы при регистрации или восстановлении пароля», — уточняет соавтор исследования Иван Юшкевич, аналитик Digital Security.

Подробные результаты и методология тестирования представлены в отчете компании Digital Security «Тестирование парольных политик веб-сервисов 2.0».

Исследователи изучили, как веб-сервисы регулируют пароли пользователей

Источник

Последние новости