Політика щодо паролів на популярних веб-сайтах залишає споживачів викритими

Після виявлення помилки Heartbleed на початку цього року адміністратори веб-сайтів намагалися виправити вразливий компонент, який дозволив шахраям захоплювати шматки пам'яті із захищених серверів. Оскільки ці фрагменти могли легко включати імена користувачів та паролі, багато сайтів сповістили користувачів про оновлення своїх паролів після виправлення. Однак, звіт про безпеку виробників популярного менеджера паролів Dashlane показує, що більшість сайтів мають зробити ще багато роботи над власною політикою паролів.

Методика випробувань

Дослідники Дашлана проаналізували політику щодо паролів більш ніж 80 популярних веб-сайтів, присвоївши бали за політику, що покращує безпеку, та нарахування балів за ризиковану політику. Наприклад, сайт, який надсилає підтвердження електронною поштою після зміни пароля, отримує 10 балів, але сайт, повідомлення якого включає пароль у простому тексті, втрачає 30 балів. Сайт, який приймає паролі з трьох символів або коротше, втрачає 5 балів; той, якому потрібно не менше восьми символів, набирає 20 балів.

Можливий діапазон балів складає від ідеальних 100 балів до похмурих -100 балів. Dashlane вважає сайт досить безпечним, якщо він набрав принаймні 50 балів. Тільки 14 відсотків опитуваних сайтів впоралися з цим подвигом, а 53 відсотки отримали негативні оцінки.

Неправильні паролі

Якщо люди не змушують це робити краще щодо правил паролів на сайті, багато людей все ще використовують жахливі паролі, такі як "пароль", "123456" та "qwerty". Дашлан визначив десять найгірших правопорушників і набрав кожен сайт на 2, 5 бала за кожного, хто був прийнятий. Понад 40 відсотків сайтів прийняли всі десять. Жменька заблокувала майже всіх, але спрацьовувала на "abc123".

1800Flowers.com, Fab.com та Match.com мають незавидну відмінність прийому паролів, коротких як один самотній символ. BestBuy.com був єдиним опитуваним сайтом, якому потрібно десять і більше символів.

Найкращі та найгірші

Тільки веб-сайт Apple заробив ідеальний бал у 100 балів. Майкрософт Windows Live отримав 85 балів, UPS та Microsoft Store отримали 75 балів. Target і Лабораторія Касперського отримали 70 балів. Зауважте, що це стосується особливо політик щодо паролів на веб-сайті Касперського і не має нічого спільного з програмним забезпеченням компанії.

Шукаю кохання? Будемо сподіватися, що ви не використовуєте свій пароль Match.com на будь-яких інших сайтах. Маючи -70 балів Match.com зумів найнижчий бал з усіх перевірених сайтів. Hulu та Overstock набрали -55, Fab отримав -50, а кілька сайтів, включаючи US Airways та Amazon, набрали -45.

Середній бал серед усіх перевірених сайтів був лише волоссям нижче нуля, але середній показник за категоріями різко змінювався. Знайомства, подорожі та безпека в середньому склали -23, -17 та -5 балів відповідно. Електронна комерція, соціальні послуги та продуктивність підприємств забезпечили позитивні результати відповідно 3, 12 та 13 балів. (Ей, охоронні компанії; працюйте на своїх веб-сайтах!)

Політика впливає на паролі

Можливо, найцікавіший результат отримав шляхом перехресних посилань на показники політики паролів із середньою паролем на кожному веб-сайті. З дозволу користувачів Dashlane збирає та агрегує неособисті дані на підставі надійності паролів кожного користувача. (Не самі паролі! Просто показник міцності.) Не дивно, що між двома балами існує сильна кореляція.

Ви можете переглянути повний звіт, включаючи точні подробиці про методологію тестування та поради Дашлайн для сайтів, які отримали низький бал на www.dashlane.com/securityroundup. Клацніть на інфографіці нижче для збільшення зображення.