Cambie su contrase├▒a: prueba de pol├şticas de contrase├▒a del servicio web


En 2015, ya probamos las pol├şticas de contrase├▒a de los servicios web m├ís grandes, cuyos resultados se presentaron aqu├ş . Y ahora, despu├ęs de 4 a├▒os, decidimos actualizar y ampliar este estudio. En el estudio de 2019, probamos 157 servicios, divididos en 14 categor├şas seg├║n su prop├│sito. Si est├í interesado en saber c├│mo los recursos tan grandes como Gmail, Facebook, eBay, PayPal, Steam, coinbase, DropBox, GitHub y muchos otros son adecuados para las pol├şticas de contrase├▒a, ┬íbienvenido a cortar!


Para evitar que los usuarios se limiten a las contrase├▒as m├ís simples en el proceso de registro de una cuenta y, por lo tanto, no se pongan en peligro, existen pol├şticas de contrase├▒a. Determinan los requisitos para la longitud de las contrase├▒as, los tipos de caracteres permitidos y requeridos para su uso, el grado de complejidad, etc. En el curso del estudio, descubrimos qu├ę pol├şticas de contrase├▒a se utilizan en varios servicios web.


Cabe señalar de inmediato que no debe confiar completamente en los requisitos de los recursos web al elegir su contraseña. El estudio mostró que incluso si sigue todas las recomendaciones, el servicio puede permitirle usar algunas de las contraseñas de diccionario más comunes.


Metodolog├şa de la investigaci├│n


Para llevar a cabo el análisis, determinamos un conjunto de reglas, presentadas en la Tabla 1, una compilación de recomendaciones de muchos servicios, populares y no muy.



El siguiente paso fue evaluar los requisitos de recursos con puntos. Para cada defecto, que en ├║ltima instancia puede conducir a un "debilitamiento" de la contrase├▒a, se dedujeron los puntos. Y, por el contrario, los servicios con recomendaciones ├│ptimas obtuvieron puntos merecidos. Cuantos m├ís puntos, mejor ser├í la pol├ştica de contrase├▒a del servicio.


Por supuesto, lo peor de todo, si no hay reglas para crear contrase├▒as, y un peque├▒o n├║mero de puntos aqu├ş no requiere explicaci├│n. Sin embargo, un enfoque en el que un servicio requiere una combinaci├│n de no m├ís de 20 caracteres o proh├şbe el uso de caracteres especiales tambi├ęn "debilita" las contrase├▒as. Por lo tanto, en este caso, la sustracci├│n de puntos est├í justificada.


Además de las reglas enumeradas, 0.5 puntos agregaron la presencia de autenticación de dos factores para el servicio.



Tambi├ęn formamos una breve lista de contrase├▒as (ver Tabla 2), que en un grado u otro satisfacen estas reglas, pero tambi├ęn son de diccionario y de uso frecuente. Si el servicio permiti├│ registrarse con las combinaciones propuestas, perdi├│ puntos.



Un ataque de diccionario acelera enormemente el descifrado de contrase├▒as y aumenta las posibilidades de un ataque de fuerza bruta exitoso. Para probar la capacidad de establecer contrase├▒as simples, las contrase├▒as se seleccionaron de varios diccionarios conocidos:


  • Las 100 peores contrase├▒as
  • Las 10.000 peores contrase├▒as
  • RockYou Dictionary es uno de los diccionarios m├ís populares para el ataque de fuerza bruta. Incluye contrase├▒as robadas del sitio pirateado de RockYou, un desarrollador de aplicaciones de redes sociales.

Para mayor claridad, agregamos una serie de "logros" por las deficiencias de la pol├ştica de contrase├▒as.


Prueba de pol├şticas de contrase├▒a del servicio web


Como resultado de las pruebas, se analizaron 157 recursos para diversos fines. La lista de categor├şas seleccionadas se ha expandido, a las antiguas agregadas:


  • Hospedaje
  • Administradores de Contrase├▒as
  • Servicios de noticias
  • Recursos entretenidos
  • Blogs y foros
  • Banca por internet

El estudio completo se puede leer en el enlace .


Veamos los resultados de inmediato. En la tabla a continuaci├│n, puede encontrar los l├şderes y externos de cada grupo de servicios, comparar la cantidad de logros alcanzados, pero lo m├ís importante es averiguar qui├ęn est├í m├ís preocupado por la seguridad de las cuentas de sus usuarios.



No siempre, incluso los servicios más grandes prestan suficiente atención a la protección contra la creación de contraseñas simples y, por lo tanto, a la seguridad de las cuentas de usuario. Solo algunos de los recursos de Internet más populares tienen requisitos de autenticación serios.


Redes sociales


Mostramos c├│mo contamos puntos en el ejemplo de las redes sociales. La tabla de distribuci├│n de puntos es la siguiente.




Los resultados finales en este grupo de servicios.



La mayor├şa de los servicios estudiados tienen requisitos m├şnimos de contrase├▒a. B├ísicamente, las restricciones se imponen solo en la longitud m├şnima. En comparaci├│n con el estudio anterior, esta vez las contrase├▒as "crecieron", al menos de 6 a 8 caracteres. Sin embargo, todav├şa no hay verificaci├│n de contrase├▒a del diccionario. A las redes sociales todav├şa no les importa qu├ę contrase├▒a usas. Por lo tanto, calificamos a los 14 grupos de servicio. ┬┐Qu├ę ha cambiado en los ├║ltimos a├▒os?


En la clasificación general, los servicios de correo siguen liderando, lo cual es bastante lógico y justificado, pero las redes sociales han dejado su segunda posición y se han trasladado a la mitad de la lista. Los servicios de comercio electrónico fueron aún más bajos en el ranking que antes.


Servicios de correo


Como hace 4 a├▒os, el recurso Pobox result├│ ser un extra├▒o entre los servicios de correo electr├│nico. Se le uni├│ el servicio de correo ProtonMail, que no utiliza ninguna pol├ştica de contrase├▒a y pone toda la responsabilidad de la seguridad de la contrase├▒a sobre los hombros del usuario.



Servicios de criptomonedas


En el grupo de servicios de criptomonedas, los anteriormente rezagados en t├ęrminos de servicios de seguridad CEX.IO y BitPay han fortalecido sus pol├şticas y ahora est├ín tomando posiciones intermedias.


Banca por internet


Solo en la tercera l├şnea de la calificaci├│n se encontraban los servicios de banca por Internet. Ser├şa l├│gico suponer que los servicios de esta categor├şa definitivamente estar├şan m├ís atentos a la seguridad de las cuentas de sus usuarios. En realidad, todo result├│ ser ligeramente diferente. Result├│ que no todos los servicios implementaron una contrase├▒a que coincida con inicio de sesi├│n o correo. Result├│ que tambi├ęn usaba la mayor├şa de las contrase├▒as del diccionario. Por supuesto, los c├│digos de confirmaci├│n de SMS ├║nicos son buenos, pero solo mientras el tel├ęfono est├í en sus manos. En general, el nivel de calidad de las pol├şticas de contrase├▒as para los servicios investigados es comparable al de los administradores de contrase├▒as o los servicios de criptomonedas.


Servicios de pago


En el grupo de servicios de pago WebMoney en los últimos años, desde una posición de liderazgo se ha trasladado al final de la lista. Casi todos los servicios ofrecen una gran cantidad de recomendaciones para elegir una contraseña. Por supuesto, bloquean las contraseñas más simples, pero aún un nivel similar de seguridad es inaceptable en el contexto de dichos servicios.



Servicios de juego


Los servicios de juegos se han vuelto m├ís preocupados por las pol├şticas de contrase├▒a. Es cierto que esto no evita el hecho de que las cuentas de los jugadores aparecen constantemente en las bases de datos filtradas. Una condici├│n interesante apareci├│ en la p├ígina de PlayStation Network: la prohibici├│n de caracteres repetidos, as├ş como de caracteres ubicados uno tras otro en el teclado. Pero todav├şa se pudieron configurar un par de contrase├▒as de diccionario.



Almacenamiento de archivos en la nube


Estos servicios son ├║tiles para proporcionar acceso a datos desde cualquier parte del mundo donde haya acceso a la red. Sin embargo, la seguridad generalmente se sacrifica por la comodidad. Tambi├ęn existe una tendencia a dar al usuario la libertad de elegir una contrase├▒a.



Hosting


Las cosas relacionadas con las pol├şticas de alojamiento de contrase├▒as, desafortunadamente, no son nada alentadoras. De todos los servicios estudiados, solo dos exigieron la contrase├▒a del usuario. Adem├ís, solo DigitalOcean y Vscale filtran las contrase├▒as del diccionario.


Recursos entretenidos


Las pol├şticas de contrase├▒a para recursos de entretenimiento tampoco son cre├şbles. Solo un servicio "cruz├│ la l├şnea de pobreza" en nuestro sistema de puntos. Todos los dem├ís servicios investigados permitieron el uso de contrase├▒as de diccionario y no aplicaron ninguna verificaci├│n para establecer contrase├▒as. A pesar de todo esto, fue bueno saber sobre la posibilidad de utilizar la autenticaci├│n de dos factores en algunos recursos.



Blogs y foros


Los blogs y foros no fueron demasiado lejos: presentaron requisitos irrazonablemente pocos para las contrase├▒as de los usuarios y no las verificaron. Esta situaci├│n de los servicios estudiados puede justificarse por el deseo de no asustar a los usuarios con un gran conjunto de reglas. En la b├║squeda de la popularidad, la seguridad queda relegada a un segundo plano. Y no pasamos por alto a Habr: honestamente verificamos sus pol├şticas de contrase├▒a, los resultados no fueron del todo impresionantes: no se verifica la coincidencia de las contrase├▒as con las contrase├▒as de inicio de sesi├│n o diccionario, no hay recomendaciones para los caracteres utilizados.


Conclusiones


La imagen sigue siendo la misma: el uso de una contrase├▒a segura sigue siendo una iniciativa privada. Solo algunos de los recursos de Internet m├ís populares tienen requisitos de autenticaci├│n serios. Esta actitud hacia la autenticaci├│n segura puede explicarse por la b├║squeda de servicios por parte de la audiencia. Aqu├ş debe elegir el "medio dorado": las reglas demasiado complejas lo obligar├ín a pasar mucho m├ís tiempo en el registro, lo que puede asustar al usuario. Por otro lado, la ausencia total de pol├şticas implicar├í necesariamente la ocurrencia de incidentes de seguridad.


Sin embargo, no importa cu├ínto lo intenten los desarrolladores del servicio, si el propio usuario no se ocupa de su protecci├│n, nadie lo ayudar├í. El texto completo del estudio se puede encontrar aqu├ş .

Source: https://habr.com/ru/post/439184/


All Articles