En 2015, ya probamos las políticas de contraseña de los servicios web más grandes, cuyos resultados se presentaron aquí . Y ahora, después de 4 años, decidimos actualizar y ampliar este estudio. En el estudio de 2019, probamos 157 servicios, divididos en 14 categorías según su propósito. Si está interesado en saber cómo los recursos tan grandes como Gmail, Facebook, eBay, PayPal, Steam, coinbase, DropBox, GitHub y muchos otros son adecuados para las políticas de contraseña, ¡bienvenido a cortar!
Para evitar que los usuarios se limiten a las contraseñas más simples en el proceso de registro de una cuenta y, por lo tanto, no se pongan en peligro, existen políticas de contraseña. Determinan los requisitos para la longitud de las contraseñas, los tipos de caracteres permitidos y requeridos para su uso, el grado de complejidad, etc. En el curso del estudio, descubrimos qué políticas de contraseña se utilizan en varios servicios web.
Cabe señalar de inmediato que no debe confiar completamente en los requisitos de los recursos web al elegir su contraseña. El estudio mostró que incluso si sigue todas las recomendaciones, el servicio puede permitirle usar algunas de las contraseñas de diccionario más comunes.
Metodología de la investigación
Para llevar a cabo el análisis, determinamos un conjunto de reglas, presentadas en la Tabla 1, una compilación de recomendaciones de muchos servicios, populares y no muy.
El siguiente paso fue evaluar los requisitos de recursos con puntos. Para cada defecto, que en última instancia puede conducir a un "debilitamiento" de la contraseña, se dedujeron los puntos. Y, por el contrario, los servicios con recomendaciones óptimas obtuvieron puntos merecidos. Cuantos más puntos, mejor será la política de contraseña del servicio.
Por supuesto, lo peor de todo, si no hay reglas para crear contraseñas, y un pequeño número de puntos aquí no requiere explicación. Sin embargo, un enfoque en el que un servicio requiere una combinación de no más de 20 caracteres o prohíbe el uso de caracteres especiales también "debilita" las contraseñas. Por lo tanto, en este caso, la sustracción de puntos está justificada.
Además de las reglas enumeradas, 0.5 puntos agregaron la presencia de autenticación de dos factores para el servicio.
También formamos una breve lista de contraseñas (ver Tabla 2), que en un grado u otro satisfacen estas reglas, pero también son de diccionario y de uso frecuente. Si el servicio permitió registrarse con las combinaciones propuestas, perdió puntos.
Un ataque de diccionario acelera enormemente el descifrado de contraseñas y aumenta las posibilidades de un ataque de fuerza bruta exitoso. Para probar la capacidad de establecer contraseñas simples, las contraseñas se seleccionaron de varios diccionarios conocidos:
- Las 100 peores contraseñas
- Las 10.000 peores contraseñas
- RockYou Dictionary es uno de los diccionarios más populares para el ataque de fuerza bruta. Incluye contraseñas robadas del sitio pirateado de RockYou, un desarrollador de aplicaciones de redes sociales.
Para mayor claridad, agregamos una serie de "logros" por las deficiencias de la política de contraseñas.
Prueba de políticas de contraseña del servicio web
Como resultado de las pruebas, se analizaron 157 recursos para diversos fines. La lista de categorías seleccionadas se ha expandido, a las antiguas agregadas:
- Hospedaje
- Administradores de Contraseñas
- Servicios de noticias
- Recursos entretenidos
- Blogs y foros
- Banca por internet
El estudio completo se puede leer en el enlace .
Veamos los resultados de inmediato. En la tabla a continuación, puede encontrar los líderes y externos de cada grupo de servicios, comparar la cantidad de logros alcanzados, pero lo más importante es averiguar quién está más preocupado por la seguridad de las cuentas de sus usuarios.
No siempre, incluso los servicios más grandes prestan suficiente atención a la protección contra la creación de contraseñas simples y, por lo tanto, a la seguridad de las cuentas de usuario. Solo algunos de los recursos de Internet más populares tienen requisitos de autenticación serios.
Redes sociales
Mostramos cómo contamos puntos en el ejemplo de las redes sociales. La tabla de distribución de puntos es la siguiente.
Los resultados finales en este grupo de servicios.
La mayoría de los servicios estudiados tienen requisitos mínimos de contraseña. Básicamente, las restricciones se imponen solo en la longitud mínima. En comparación con el estudio anterior, esta vez las contraseñas "crecieron", al menos de 6 a 8 caracteres. Sin embargo, todavía no hay verificación de contraseña del diccionario. A las redes sociales todavía no les importa qué contraseña usas. Por lo tanto, calificamos a los 14 grupos de servicio. ¿Qué ha cambiado en los últimos años?
En la clasificación general, los servicios de correo siguen liderando, lo cual es bastante lógico y justificado, pero las redes sociales han dejado su segunda posición y se han trasladado a la mitad de la lista. Los servicios de comercio electrónico fueron aún más bajos en el ranking que antes.
Servicios de correo
Como hace 4 años, el recurso Pobox resultó ser un extraño entre los servicios de correo electrónico. Se le unió el servicio de correo ProtonMail, que no utiliza ninguna política de contraseña y pone toda la responsabilidad de la seguridad de la contraseña sobre los hombros del usuario.
Servicios de criptomonedas
En el grupo de servicios de criptomonedas, los anteriormente rezagados en términos de servicios de seguridad CEX.IO y BitPay han fortalecido sus políticas y ahora están tomando posiciones intermedias.
Banca por internet
Solo en la tercera línea de la calificación se encontraban los servicios de banca por Internet. Sería lógico suponer que los servicios de esta categoría definitivamente estarían más atentos a la seguridad de las cuentas de sus usuarios. En realidad, todo resultó ser ligeramente diferente. Resultó que no todos los servicios implementaron una contraseña que coincida con inicio de sesión o correo. Resultó que también usaba la mayoría de las contraseñas del diccionario. Por supuesto, los códigos de confirmación de SMS únicos son buenos, pero solo mientras el teléfono está en sus manos. En general, el nivel de calidad de las políticas de contraseñas para los servicios investigados es comparable al de los administradores de contraseñas o los servicios de criptomonedas.
Servicios de pago
En el grupo de servicios de pago WebMoney en los últimos años, desde una posición de liderazgo se ha trasladado al final de la lista. Casi todos los servicios ofrecen una gran cantidad de recomendaciones para elegir una contraseña. Por supuesto, bloquean las contraseñas más simples, pero aún un nivel similar de seguridad es inaceptable en el contexto de dichos servicios.
Servicios de juego
Los servicios de juegos se han vuelto más preocupados por las políticas de contraseña. Es cierto que esto no evita el hecho de que las cuentas de los jugadores aparecen constantemente en las bases de datos filtradas. Una condición interesante apareció en la página de PlayStation Network: la prohibición de caracteres repetidos, así como de caracteres ubicados uno tras otro en el teclado. Pero todavía se pudieron configurar un par de contraseñas de diccionario.
Almacenamiento de archivos en la nube
Estos servicios son útiles para proporcionar acceso a datos desde cualquier parte del mundo donde haya acceso a la red. Sin embargo, la seguridad generalmente se sacrifica por la comodidad. También existe una tendencia a dar al usuario la libertad de elegir una contraseña.
Hosting
Las cosas relacionadas con las políticas de alojamiento de contraseñas, desafortunadamente, no son nada alentadoras. De todos los servicios estudiados, solo dos exigieron la contraseña del usuario. Además, solo DigitalOcean y Vscale filtran las contraseñas del diccionario.
Recursos entretenidos
Las políticas de contraseña para recursos de entretenimiento tampoco son creíbles. Solo un servicio "cruzó la línea de pobreza" en nuestro sistema de puntos. Todos los demás servicios investigados permitieron el uso de contraseñas de diccionario y no aplicaron ninguna verificación para establecer contraseñas. A pesar de todo esto, fue bueno saber sobre la posibilidad de utilizar la autenticación de dos factores en algunos recursos.
Blogs y foros
Los blogs y foros no fueron demasiado lejos: presentaron requisitos irrazonablemente pocos para las contraseñas de los usuarios y no las verificaron. Esta situación de los servicios estudiados puede justificarse por el deseo de no asustar a los usuarios con un gran conjunto de reglas. En la búsqueda de la popularidad, la seguridad queda relegada a un segundo plano. Y no pasamos por alto a Habr: honestamente verificamos sus políticas de contraseña, los resultados no fueron del todo impresionantes: no se verifica la coincidencia de las contraseñas con las contraseñas de inicio de sesión o diccionario, no hay recomendaciones para los caracteres utilizados.
Conclusiones
La imagen sigue siendo la misma: el uso de una contraseña segura sigue siendo una iniciativa privada. Solo algunos de los recursos de Internet más populares tienen requisitos de autenticación serios. Esta actitud hacia la autenticación segura puede explicarse por la búsqueda de servicios por parte de la audiencia. Aquí debe elegir el "medio dorado": las reglas demasiado complejas lo obligarán a pasar mucho más tiempo en el registro, lo que puede asustar al usuario. Por otro lado, la ausencia total de políticas implicará necesariamente la ocurrencia de incidentes de seguridad.
Sin embargo, no importa cuánto lo intenten los desarrolladores del servicio, si el propio usuario no se ocupa de su protección, nadie lo ayudará. El texto completo del estudio se puede encontrar aquí .