» » Change your password: тестирование парольных политик веб-сервисов

 

Change your password: тестирование парольных политик веб-сервисов

Автор: admin от 14-02-2019, 09:55, посмотрело: 13

Change your password: тестирование парольных политик веб-сервисов

В далеком 2015 мы уже проводили тестирование парольных политик крупнейших веб-сервисов, результаты которого были представлены здесь. И вот, спустя 4 года, мы решили обновить и расширить это исследование. В исследовании 2019 года мы проверили 157 сервисов, разделенных на 14 категорий в зависимости от их назначения. Если вам интересно как к парольным политикам подходят такие крупные ресурсы, как Gmail, Facebook, eBay, PayPal, Steam, coinbase, DropBox, GitHub и многие другие, добро пожаловать под кат!

Топ-100 самых плохих паролей
  • Топ-10000 самых плохих паролей

  • Словарь RockYou – один из самых популярных словарей для атаки методом перебора. Он включает в себя пароли, украденные со взломанного сайта компании RockYou – разработчика приложений для соцсетей.



  • Для наглядности мы добавили ряд «достижений» за недостатки парольной политики.



    Тестирование парольных политик веб-сервисов



    В результате тестирования было проанализировано 157 ресурсов различного назначения. Список выбранных категорий расширился, к старым добавились:




    • Хостинг

    • Парольные менеджеры

    • Новостные сервисы

    • Развлекательные ресурсы

    • Блоги и форумы

    • Интернет-банкинг



    Полное исследование можно прочитать по ссылке.



    Посмотрим сразу на результаты. В таблице ниже можно найти лидеров и аутсайдеров каждой группы сервисов, сравнить количество полученных достижений, но самое главное – узнать, кто больше беспокоится о безопасности аккаунтов своих пользователей.



    Change your password: тестирование парольных политик веб-сервисов

    Не всегда даже самые крупные сервисы уделяют достаточное внимание защите от создания простых паролей, а значит, и безопасности аккаунтов пользователей. Лишь единицы из самых популярных ресурсов интернета предъявляют серьезные требования к аутентификации.



    Социальные сети



    Покажем, как мы считали баллы на примере социальных сетей. Таблица распределения баллов получилась следующая.



    Change your password: тестирование парольных политик веб-сервисов

    Change your password: тестирование парольных политик веб-сервисов

    Итоговые результаты в данной группе сервисов.



    Change your password: тестирование парольных политик веб-сервисов

    Большинство исследуемых сервисов предъявляет минимум требований к паролю. В основном, ограничения накладываются лишь на минимальную длину. По сравнению с прошлым исследованием на этот раз пароли «подросли», минимум 6-8 символов. Однако до сих пор отсутствует проверка словарных паролей. Соцсетям по-прежнему все равно, какой пароль вы будете использовать. Таким образом, мы оценили все 14 групп сервисов. Что же изменилось за последние пару лет?



    В общем зачете по-прежнему лидируют почтовые сервисы, что вполне логично и обоснованно, а вот социальные сети покинули свою вторую позицию и переместились в середину списка. Сервисы электронной коммерции оказались в рейтинге еще ниже, чем раньше.



    Почтовые сервисы



    Как и 4 года назад, в аутсайдерах среди почтовых сервисов оказался ресурс Pobox. К нему присоединился почтовый сервис ProtonMail, который не использует никакие парольные политики и перекладывает всю ответственность за надежность пароля на плечи пользователя.



    Change your password: тестирование парольных политик веб-сервисов

    Криптовалютные сервисы



    В группе криптовалютных сервисов отстающие ранее в плане безопасности сервисы CEX.IO и BitPay усилили свои политики и теперь заняли средние позиции.



    Интернет-банкинг



    Лишь на третьей строчке рейтинга оказались сервисы интернет-банкинга. Логично было бы предположить, что сервисы данной категории точно будут внимательнее всех относиться к безопасности аккаунтов своих пользователей. В реальности все оказалось несколько иным. Выяснилось, что не все сервисы реализовали проверку совпадения пароля с логином или почтой. Получилось также использовать большую часть словарных паролей. Конечно, одноразовые коды подтверждения по смс — это хорошо, но только пока телефон в ваших руках. В целом, уровень качества парольных политик у исследованных сервисов сравним с парольными менеджерами или криптовалютными сервисами.



    Платежные сервисы



    В группе платежных сервисов WebMoney за последние годы с лидирующей позиции сместился в самый низ списка. Почти каждый сервис дает большое количество рекомендаций по выбору пароля. Самые простые пароли они, конечно, блокируют, но все равно подобный уровень безопасности недопустим в контексте такого рода сервисов.



    Change your password: тестирование парольных политик веб-сервисов

    Игровые сервисы



    Игровые сервисы стали лучше заботиться о парольных политиках. Правда, это не мешает тому, что аккаунты игроков постоянно появляются в базах утекших данных. Интересное условие появилось на странице PlayStation Network — запрет повторяющихся, а также расположенных друг за другом на клавиатуре символов. Но пару словарных паролей при этом все равно получилось установить.



    Change your password: тестирование парольных политик веб-сервисов

    Облачные файловые хранилища



    Эти сервисы полезны для обеспечения доступа к данным из любой точки земного шара, где есть доступ к сети. Однако в жертву комфорту, как правило, приносится безопасность. Все также сохраняется тенденция к предоставлению свободы выбора пароля пользователю.



    Change your password: тестирование парольных политик веб-сервисов

    Хостинги



    Дела в части парольных политик хостингов обстоят, к сожалению, совсем не радужно. Из всех исследованных сервисов только два предъявляли требования к паролю пользователя. Помимо этого, только DigitalOcean и Vscale фильтруют словарные пароли.



    Развлекательные ресурсы



    Парольные политики развлекательных ресурсов также не вызывают доверия. Лишь один сервис «преодолел черту бедности» в нашей балльной системе. Все остальные исследованные сервисы позволяли использовать словарные пароли и не применяли никаких проверок к устанавливаемым паролям. Несмотря на все это, было приятно узнать о возможности использовать двухфакторную аутентификацию на некоторых ресурсах.



    Change your password: тестирование парольных политик веб-сервисов

    Блоги и форумы



    Не далеко ушли блоги и форумы – они предъявляли неоправданно мало требований к паролям пользователей и не проверяли их. Такое положение дел у исследуемых сервисов можно оправдать желанием не отпугнуть пользователей большим сводом правил. В погоне за популярностью безопасность отодвигается на второй план. И Хабр мы не обошли стороной – честно проверили его парольные политики, результаты совсем не впечатлили: нет проверки на совпадение паролей с логином или словарными паролями, никаких рекомендаций по используемым символам.



    Выводы



    Картина осталась прежней: использование надежного пароля до сих пор является частной инициативой. Лишь единицы из самых популярных ресурсов интернета предъявляют серьезные требования к аутентификации. Такое отношение к безопасной аутентификации можно объяснить погоней сервисов за аудиторией. Здесь необходимо выбрать «золотую середину»: слишком сложные правила заставят потратить ощутимо больше времени на регистрацию, что может отпугнуть пользователя. С другой стороны, полное отсутствие политик обязательно повлечет за собой возникновение инцидентов безопасности.



    Впрочем, как бы ни старались разработчики сервисов, если пользователь сам не будет заботиться о своей защите, ему никто не поможет. Полный текст исследования вы найдете здесь.



    Источник: Хабр / Интересные публикации

    Категория: Информационная безопасность

    Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь.
    Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

    Добавление комментария

    Имя:*
    E-Mail:
    Комментарий:
    Полужирный Наклонный текст Подчеркнутый текст Зачеркнутый текст | Выравнивание по левому краю По центру Выравнивание по правому краю | Вставка смайликов Выбор цвета | Скрытый текст Вставка цитаты Преобразовать выбранный текст из транслитерации в кириллицу Вставка спойлера
    Введите два слова, показанных на изображении: *