Специалисты компании Digital Security протестировали парольные политики 157 популярных веб-сервисов.
Исследователи установили, какие сайты предъявляют самые строгие правила к созданию паролей и, таким образом, становятся потенциально безопаснее, какие рекомендации по защите аккаунтов даются пользователям и при использовании каких сайтов пользователь, скорее всего, станет жертвой злоумышленника.
Были протестированы следующие группы сервисов: почтовые сервисы, социальные сети, электронная коммерция, платежные сервисы, игровые сервисы, криптовалюта, хранение данных, совместная разработка, хостинг, парольные менеджеры, новостные сервисы, развлекательные ресурсы, блоги и форумы, интернет-банкинг.
«В тестировании сервисов учитывались разные показатели к требованию паролей от веб-сервисов: длина пароля и его содержание, предлагает ли сайт рекомендации по созданию пароля, возможно ли зарегистрироваться на сайте со слабым паролем или паролем из известных словарей, включая RockYou и Топ-10000 самых плохих паролей, есть ли механизмы защиты от несанкционированной авторизации, возможно ли совпадение логина и почты»
По результатам тестирования сервисам начислялись баллы, на основе которых составлялся рейтинг: максимум — 11,5 баллов. Так, оказалось, что игровые сервисы со временем (проводилось сравнение с аналогичным исследованием 2015 года) стали лучше заботиться о парольных политиках, в отличие от платежных систем. А социальные сети практически не контролируют создание паролей пользователями, что в результате приводит к повышенному риску взлома. Например, Facebook заработал 8 баллов из возможных 11,5 и занял первое место среди протестированных соцсетей, на втором — StackExchange, на третьем месте — «Одноклассники», на четвертом — Tinder, пятое — Instagram, шестое — Twitter, и только на седьмом месте расположился «ВКонтакте».
Прошли проверку также и почтовые сервисы. Они оказались лидерами по безопасности парольных политик. Их рейтинг выглядит так: Outlook — 10 баллов, Gmail — 9 баллов, Mail и Yahoo — 7,5 баллов, Яндекс — 6 баллов, Рамблер — 1,5 балла.
Победитель прошлого рейтинга платежных сервисов, WebMoney, в этот раз заработал -0,5 и сместился на последнее место, а первое место занял Skrill.
Исследователи подчеркивают, что зарубежные сервисы уделяют настройкам паролей больше внимания, чем российские. В случаях, когда сайты не предоставляют никаких рекомендаций по созданию паролей, ответственность за это полностью лежит на пользователе. Если же пользователь регистрирует слабый пароль, то вероятность хакерской атаки на его аккаунт возрастает.
Подробные результаты и методология тестирования представлены в отчете компании Digital Security «Тестирование парольных политик веб-сервисов 2.0».
Комментарий недоступен
Потому что он взламывается на старенькой GT650 за 10 минут
Комментарий недоступен
Комментарий недоступен
Комментарий недоступен
В исследовании в первую очередь рассматривается возможность подбора онлайн, а не офлайн, и здесь не важно, как пароль хранился. Главная цель работы — показать, что политики должны существовать в принципе, а также то, каким образом они могут помочь при выборе хорошего пароля. О базах «плохих» и «хороших» паролей речи не идет.
чем символ цифры так проще к подбору, чем символа буквы?
цифр 10, букв сколько?
Интересная статья