Хабрахабр

Change your password: тестирование парольных политик веб-сервисов

И вот, спустя 4 года, мы решили обновить и расширить это исследование. В далеком 2015 мы уже проводили тестирование парольных политик крупнейших веб-сервисов, результаты которого были представлены здесь. Если вам интересно как к парольным политикам подходят такие крупные ресурсы, как Gmail, Facebook, eBay, PayPal, Steam, coinbase, DropBox, GitHub и многие другие, добро пожаловать под кат! В исследовании 2019 года мы проверили 157 сервисов, разделенных на 14 категорий в зависимости от их назначения.

Они определяют требования к длине паролей, типам допустимых и обязательных для использования символов, к степени сложности и т. Чтобы пользователи не смогли ограничиться простейшими паролями в процессе регистрации аккаунта и, следовательно, не подставили себя под удар, существуют парольные политики. В ходе исследования мы выяснили, какие парольные политики используются на различных веб-сервисах. д.

Исследование показало: даже если ты следуешь всем рекомендациям, сервис может позволить использовать некоторые из самых распространенных словарных паролей. Стоит сразу отметить, что полностью полагаться на требования веб-ресурсов при выборе своего пароля не стоит.

Методология исследования

Для проведения анализа нами был определен набор правил, представленных в Таблице 1, – компиляция рекомендаций множества сервисов, популярных и не очень.

За каждый недочет, который может в итоге привести к «ослаблению» пароля, вычитались баллы. Следующим шагом была оценка предлагаемых ресурсами требований с помощью баллов. Чем больше баллов, тем, соответственно, лучше парольная политика сервиса. И, напротив, сервисы с оптимальными рекомендациями зарабатывали заслуженные баллы.

Однако подход, при котором сервис требует создавать комбинацию не длиннее 20 символов или запрещает использовать специальные символы, также «ослабляет» пароли. Конечно, хуже всего, если правил создания паролей нет вовсе, и малое количество баллов тут не требует пояснений. Поэтому и в данном случае вычитание баллов вполне оправдано.

5 балла добавляло наличие двухфакторной аутентификации у сервиса. Помимо перечисленных правил 0.

Таблицу 2), которые в той или иной степени удовлетворяют этим правилам, но при этом являются словарными и часто используемыми. Также мы сформировали небольшой список паролей (см. Если сервис позволял зарегистрироваться с предложенными комбинациями, он терял баллы.

Для тестирования возможности установки простых паролей были выбраны пароли из нескольких известных словарей: Атака по словарю значительно ускоряет взлом пароля и повышает шансы успешности атаки методом перебора.

  • Топ-100 самых плохих паролей
  • Топ-10000 самых плохих паролей
  • Словарь RockYou – один из самых популярных словарей для атаки методом перебора. Он включает в себя пароли, украденные со взломанного сайта компании RockYou – разработчика приложений для соцсетей.

Для наглядности мы добавили ряд «достижений» за недостатки парольной политики.

Тестирование парольных политик веб-сервисов

Список выбранных категорий расширился, к старым добавились: В результате тестирования было проанализировано 157 ресурсов различного назначения.

  • Хостинг
  • Парольные менеджеры
  • Новостные сервисы
  • Развлекательные ресурсы
  • Блоги и форумы
  • Интернет-банкинг

Полное исследование можно прочитать по ссылке.

В таблице ниже можно найти лидеров и аутсайдеров каждой группы сервисов, сравнить количество полученных достижений, но самое главное – узнать, кто больше беспокоится о безопасности аккаунтов своих пользователей. Посмотрим сразу на результаты.

Лишь единицы из самых популярных ресурсов интернета предъявляют серьезные требования к аутентификации. Не всегда даже самые крупные сервисы уделяют достаточное внимание защите от создания простых паролей, а значит, и безопасности аккаунтов пользователей.

Социальные сети

Таблица распределения баллов получилась следующая. Покажем, как мы считали баллы на примере социальных сетей.

Итоговые результаты в данной группе сервисов.

В основном, ограничения накладываются лишь на минимальную длину. Большинство исследуемых сервисов предъявляет минимум требований к паролю. Однако до сих пор отсутствует проверка словарных паролей. По сравнению с прошлым исследованием на этот раз пароли «подросли», минимум 6-8 символов. Таким образом, мы оценили все 14 групп сервисов. Соцсетям по-прежнему все равно, какой пароль вы будете использовать. Что же изменилось за последние пару лет?

Сервисы электронной коммерции оказались в рейтинге еще ниже, чем раньше. В общем зачете по-прежнему лидируют почтовые сервисы, что вполне логично и обоснованно, а вот социальные сети покинули свою вторую позицию и переместились в середину списка.

Почтовые сервисы

К нему присоединился почтовый сервис ProtonMail, который не использует никакие парольные политики и перекладывает всю ответственность за надежность пароля на плечи пользователя. Как и 4 года назад, в аутсайдерах среди почтовых сервисов оказался ресурс Pobox.

Криптовалютные сервисы

IO и BitPay усилили свои политики и теперь заняли средние позиции. В группе криптовалютных сервисов отстающие ранее в плане безопасности сервисы CEX.

Интернет-банкинг

Логично было бы предположить, что сервисы данной категории точно будут внимательнее всех относиться к безопасности аккаунтов своих пользователей. Лишь на третьей строчке рейтинга оказались сервисы интернет-банкинга. Выяснилось, что не все сервисы реализовали проверку совпадения пароля с логином или почтой. В реальности все оказалось несколько иным. Конечно, одноразовые коды подтверждения по смс — это хорошо, но только пока телефон в ваших руках. Получилось также использовать большую часть словарных паролей. В целом, уровень качества парольных политик у исследованных сервисов сравним с парольными менеджерами или криптовалютными сервисами.

Платежные сервисы

Почти каждый сервис дает большое количество рекомендаций по выбору пароля. В группе платежных сервисов WebMoney за последние годы с лидирующей позиции сместился в самый низ списка. Самые простые пароли они, конечно, блокируют, но все равно подобный уровень безопасности недопустим в контексте такого рода сервисов.

Игровые сервисы

Правда, это не мешает тому, что аккаунты игроков постоянно появляются в базах утекших данных. Игровые сервисы стали лучше заботиться о парольных политиках. Но пару словарных паролей при этом все равно получилось установить. Интересное условие появилось на странице PlayStation Network — запрет повторяющихся, а также расположенных друг за другом на клавиатуре символов.

Облачные файловые хранилища

Однако в жертву комфорту, как правило, приносится безопасность. Эти сервисы полезны для обеспечения доступа к данным из любой точки земного шара, где есть доступ к сети. Все также сохраняется тенденция к предоставлению свободы выбора пароля пользователю.

Хостинги

Из всех исследованных сервисов только два предъявляли требования к паролю пользователя. Дела в части парольных политик хостингов обстоят, к сожалению, совсем не радужно. Помимо этого, только DigitalOcean и Vscale фильтруют словарные пароли.

Развлекательные ресурсы

Лишь один сервис «преодолел черту бедности» в нашей балльной системе. Парольные политики развлекательных ресурсов также не вызывают доверия. Несмотря на все это, было приятно узнать о возможности использовать двухфакторную аутентификацию на некоторых ресурсах. Все остальные исследованные сервисы позволяли использовать словарные пароли и не применяли никаких проверок к устанавливаемым паролям.

Блоги и форумы

Такое положение дел у исследуемых сервисов можно оправдать желанием не отпугнуть пользователей большим сводом правил. Не далеко ушли блоги и форумы – они предъявляли неоправданно мало требований к паролям пользователей и не проверяли их. И Хабр мы не обошли стороной – честно проверили его парольные политики, результаты совсем не впечатлили: нет проверки на совпадение паролей с логином или словарными паролями, никаких рекомендаций по используемым символам. В погоне за популярностью безопасность отодвигается на второй план.

Выводы

Лишь единицы из самых популярных ресурсов интернета предъявляют серьезные требования к аутентификации. Картина осталась прежней: использование надежного пароля до сих пор является частной инициативой. Здесь необходимо выбрать «золотую середину»: слишком сложные правила заставят потратить ощутимо больше времени на регистрацию, что может отпугнуть пользователя. Такое отношение к безопасной аутентификации можно объяснить погоней сервисов за аудиторией. С другой стороны, полное отсутствие политик обязательно повлечет за собой возникновение инцидентов безопасности.

Полный текст исследования вы найдете здесь. Впрочем, как бы ни старались разработчики сервисов, если пользователь сам не будет заботиться о своей защите, ему никто не поможет.

Теги
Показать больше

Похожие статьи

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»
Закрыть