{"id":13647,"url":"\/distributions\/13647\/click?bit=1&hash=d4d0a95481b2141f31252beb4d22220d0651449e9778f17c809993da8776f8b2","title":"\u0422\u0440\u0451\u0445\u0434\u043d\u0435\u0432\u043d\u044b\u0439 \u043a\u044d\u043c\u043f \u0434\u043b\u044f \u0442\u0435\u0445\u043d\u0438\u0447\u0435\u0441\u043a\u0438\u0445 \u0434\u0438\u0440\u0435\u043a\u0442\u043e\u0440\u043e\u0432 \u0432 \u0421\u043e\u0447\u0438","buttonText":"\u041f\u043e\u0434\u0440\u043e\u0431\u043d\u0435\u0435","imageUuid":"6ebca1ad-5b8a-5097-a45a-7d83eaa07fcc","isPaidAndBannersEnabled":false}
Сервисы
Yana Dolzhanskaya

Эксперты Digital Security выяснили, как веб-сервисы регулируют пароли пользователей

Специалисты компании Digital Security протестировали парольные политики 157 популярных веб-сервисов.

Исследователи установили, какие сайты предъявляют самые строгие правила к созданию паролей и, таким образом, становятся потенциально безопаснее, какие рекомендации по защите аккаунтов даются пользователям и при использовании каких сайтов пользователь, скорее всего, станет жертвой злоумышленника.

Были протестированы следующие группы сервисов: почтовые сервисы, социальные сети, электронная коммерция, платежные сервисы, игровые сервисы, криптовалюта, хранение данных, совместная разработка, хостинг, парольные менеджеры, новостные сервисы, развлекательные ресурсы, блоги и форумы, интернет-банкинг.

«В тестировании сервисов учитывались разные показатели к требованию паролей от веб-сервисов: длина пароля и его содержание, предлагает ли сайт рекомендации по созданию пароля, возможно ли зарегистрироваться на сайте со слабым паролем или паролем из известных словарей, включая RockYou и Топ-10000 самых плохих паролей, есть ли механизмы защиты от несанкционированной авторизации, возможно ли совпадение логина и почты»

Иван Юшкевич

По результатам тестирования сервисам начислялись баллы, на основе которых составлялся рейтинг: максимум — 11,5 баллов. Так, оказалось, что игровые сервисы со временем (проводилось сравнение с аналогичным исследованием 2015 года) стали лучше заботиться о парольных политиках, в отличие от платежных систем. А социальные сети практически не контролируют создание паролей пользователями, что в результате приводит к повышенному риску взлома. Например, Facebook заработал 8 баллов из возможных 11,5 и занял первое место среди протестированных соцсетей, на втором — StackExchange, на третьем месте — «Одноклассники», на четвертом — Tinder, пятое — Instagram, шестое — Twitter, и только на седьмом месте расположился «ВКонтакте».

Прошли проверку также и почтовые сервисы. Они оказались лидерами по безопасности парольных политик. Их рейтинг выглядит так: Outlook — 10 баллов, Gmail — 9 баллов, Mail и Yahoo — 7,5 баллов, Яндекс — 6 баллов, Рамблер — 1,5 балла.

Победитель прошлого рейтинга платежных сервисов, WebMoney, в этот раз заработал -0,5 и сместился на последнее место, а первое место занял Skrill.

Исследователи подчеркивают, что зарубежные сервисы уделяют настройкам паролей больше внимания, чем российские. В случаях, когда сайты не предоставляют никаких рекомендаций по созданию паролей, ответственность за это полностью лежит на пользователе. Если же пользователь регистрирует слабый пароль, то вероятность хакерской атаки на его аккаунт возрастает.

Подробные результаты и методология тестирования представлены в отчете компании Digital Security «Тестирование парольных политик веб-сервисов 2.0».

0
9 комментариев
Написать комментарий...
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
IO

Потому что он взламывается на старенькой GT650 за 10 минут

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
ИгорьOK
если мы говорим про устойчивость к перебору хеша?

Нет, мы про него не говорим!
Речь идёт про пароль, а не его хеш!

Ответить
Развернуть ветку
Yana Dolzhanskaya
Автор

В исследовании в первую очередь рассматривается возможность подбора онлайн, а не офлайн, и здесь не важно, как пароль хранился. Главная цель работы — показать, что политики должны существовать в принципе, а также то, каким образом они могут помочь при выборе хорошего пароля. О базах «плохих» и «хороших» паролей речи не идет.

Ответить
Развернуть ветку
Семен Смирнов

чем символ цифры так проще к подбору, чем символа буквы?

Ответить
Развернуть ветку
IO

цифр 10, букв сколько?

Ответить
Развернуть ветку
Владислав Кирильчук

Интересная статья

Ответить
Развернуть ветку
Читать все 9 комментариев
null