Geekly articles weekly

تغيير كلمة المرور الخاصة بك: اختبار سياسات كلمة مرور خدمة الويب


مرة أخرى في عام 2015 ، قمنا بالفعل باختبار سياسات كلمة المرور الخاصة بأكبر خدمات الويب ، والتي تم تقديم نتائجها هنا . والآن ، بعد 4 سنوات ، قررنا تحديث وتوسيع هذه الدراسة. في دراسة 2019 ، اختبرنا 157 خدمة ، مقسمة إلى 14 فئة حسب الغرض منها. إذا كنت مهتمًا بكيفية استخدام موارد كبيرة مثل Gmail و Facebook و eBay و PayPal و Steam و coinbase و DropBox و GitHub والعديد من المصادر الأخرى لسياسات كلمة المرور ، مرحبًا بكم في التخفيض!


لمنع المستخدمين من تقييد أنفسهم بأبسط كلمات المرور في عملية تسجيل حساب وبالتالي عدم تعريض أنفسهم للخطر ، توجد سياسات كلمة المرور. وهي تحدد متطلبات طول كلمات المرور ، وأنواع الأحرف المسموح بها والمطلوبة للاستخدام ، ودرجة التعقيد ، وما إلى ذلك. في سياق الدراسة ، اكتشفنا سياسات كلمة المرور المستخدمة في خدمات الويب المختلفة.


تجدر الإشارة على الفور إلى أنه لا ينبغي عليك الاعتماد بالكامل على متطلبات موارد الويب عند اختيار كلمة المرور الخاصة بك. أظهرت الدراسة أنه حتى لو اتبعت جميع التوصيات ، فقد تسمح لك الخدمة باستخدام بعض كلمات مرور القاموس الأكثر شيوعًا.


منهجية البحث


لإجراء التحليل ، حددنا مجموعة من القواعد ، تم تقديمها في الجدول 1 ، - مجموعة توصيات للعديد من الخدمات ، وهي شعبية وليست كبيرة جدًا.



كانت الخطوة التالية هي تقييم متطلبات الموارد بنقاط. لكل عيب قد يؤدي في النهاية إلى "إضعاف" كلمة المرور ، يتم خصم النقاط. وعلى العكس من ذلك ، فإن الخدمات ذات التوصيات المثلى كسبت نقاط تستحقها عن جدارة. لمزيد من النقاط ، كلما كان ذلك أفضل سياسة كلمة المرور للخدمة.


بالطبع ، الأسوأ من ذلك كله ، إذا لم تكن هناك قواعد لإنشاء كلمات المرور على الإطلاق ، وهناك عدد صغير من النقاط هنا لا يحتاج إلى شرح. ومع ذلك ، فإن النهج الذي تتطلب فيه خدمة ما مجموعة لا تزيد عن 20 حرفًا أو يحظر استخدام أحرف خاصة "يضعف" كلمات المرور أيضًا. لذلك ، في هذه الحالة ، هناك ما يبرر طرح النقاط.


بالإضافة إلى القواعد المدرجة ، أضاف 0.5 نقطة وجود مصادقة ثنائية للخدمة.



شكلنا أيضًا قائمة قصيرة بكلمات المرور (انظر الجدول 2) ، والتي تلبي هذه القواعد بدرجة أو بأخرى هذه القواعد ، لكنها أيضًا قاموس وغالبًا ما تستخدم. إذا سمحت الخدمة بالتسجيل في المجموعات المقترحة ، فقد النقاط.



هجوم القاموس يسرع إلى حد كبير تكسير كلمة المرور ويزيد من فرص نجاح القوة الغاشمة. لاختبار القدرة على تعيين كلمات مرور بسيطة ، تم اختيار كلمات المرور من العديد من القواميس المعروفة:


  • أفضل 100 كلمة مرور أسوأ
  • أفضل 10000 كلمة مرور أسوأ
  • RockYou Dictionary هي واحدة من القواميس الأكثر شعبية لهجوم القوة الغاشمة. ويتضمن كلمات مرور مسروقة من موقع RockYou الذي تم اختراقه ، وهو مطور تطبيقات الوسائط الاجتماعية.

للتوضيح ، أضفنا عددًا من "الإنجازات" لأوجه القصور في سياسة كلمة المرور.


اختبار سياسات كلمة مرور خدمة الويب


نتيجة للاختبار ، تم تحليل 157 موارد لأغراض مختلفة. توسعت قائمة الفئات المختارة إلى الفئات القديمة المضافة:


  • استضافة
  • مدراء كلمة المرور
  • خدمات الأخبار
  • موارد مسلية
  • المدونات والمنتديات
  • الخدمات المصرفية عبر الإنترنت

الدراسة الكاملة يمكن قراءتها على الرابط .


دعونا نلقي نظرة على النتائج على الفور. في الجدول أدناه ، يمكنك العثور على قادة وكل مجموعة خارجية من الخدمات ، ومقارنة عدد الإنجازات التي تحققت ، ولكن الشيء الأكثر أهمية هو معرفة من هم أكثر قلقًا بشأن أمان حسابات المستخدمين الخاصة بهم.



ليست دائمًا حتى أكبر الخدمات تولي اهتمامًا كافيًا للحماية من إنشاء كلمات مرور بسيطة ، وبالتالي أمان حسابات المستخدمين. فقط عدد قليل من موارد الإنترنت الأكثر شعبية لديها متطلبات جدية للمصادقة.


الشبكات الاجتماعية


نوضح كيف عدنا النقاط على مثال الشبكات الاجتماعية. جدول توزيع النقاط على النحو التالي.




النتائج النهائية في هذه المجموعة من الخدمات.



تحتوي معظم الخدمات المدروسة على الحد الأدنى من متطلبات كلمة المرور. في الأساس ، يتم فرض قيود فقط على الحد الأدنى للطول. بالمقارنة مع الدراسة السابقة ، فإن كلمات المرور هذه المرة "نشأت" ، على الأقل 6-8 أحرف. ومع ذلك ، لا يزال هناك التحقق من كلمة المرور القاموس. لا تهتم الشبكات الاجتماعية بكلمة المرور التي تستخدمها. وبالتالي ، قمنا بتقييم جميع مجموعات الخدمة 14. ما الذي تغير على مدى العامين الماضيين؟


في التصنيف الكلي ، لا تزال خدمات البريد رائدة ، وهو أمر منطقي ومبرر تمامًا ، لكن الشبكات الاجتماعية تركت مركزها الثاني وانتقلت إلى منتصف القائمة. كانت خدمات التجارة الإلكترونية في التصنيف أقل من السابق.


خدمات البريد


مثل قبل 4 سنوات ، تحولت موارد Pobox إلى شخص غريب بين خدمات البريد الإلكتروني. انضم إليه خدمة بريد ProtonMail ، التي لا تستخدم أي سياسات كلمة مرور ، وتضع كل مسؤولية قوة كلمة المرور على أكتاف المستخدم.



خدمات العملة المشفرة


في مجموعة خدمات العملة المشفرة ، عزز التأخير السابق فيما يتعلق بخدمات الأمن CEX.IO و BitPay سياساتهما وأصبحا الآن يشغلان مراكز متوسطة.


الخدمات المصرفية عبر الإنترنت


فقط على السطر الثالث من التصنيف كانت الخدمات المصرفية عبر الإنترنت. سيكون من المنطقي افتراض أن خدمات هذه الفئة ستكون بالتأكيد أكثر اهتمامًا بأمان حسابات مستخدميها. في الواقع ، تبين أن كل شيء مختلف قليلاً. اتضح أن ليس كل الخدمات تنفذ مطابقة كلمة المرور مع تسجيل الدخول أو البريد. اتضح أيضًا استخدام معظم كلمات مرور القاموس. بالطبع ، رموز تأكيد الرسائل النصية القصيرة لمرة واحدة جيدة ، لكن فقط عندما يكون الهاتف بين يديك. بشكل عام ، فإن مستوى جودة سياسات كلمة المرور للخدمات التي تم اختبارها يمكن مقارنته بمديري كلمات المرور أو خدمات العملة المشفرة.


خدمات الدفع


في مجموعة خدمات الدفع WebMoney في السنوات الأخيرة ، انتقلت من مركز قيادي إلى أسفل القائمة. تقدم كل خدمة تقريبًا عددًا كبيرًا من التوصيات لاختيار كلمة مرور. بطبيعة الحال ، فإنهم يحجبون أبسط كلمات المرور ، ولكن لا يزال هناك مستوى مماثل من الأمن غير مقبول في سياق هذه الخدمات.



خدمات اللعبة


أصبحت خدمات الألعاب أكثر قلقًا بشأن سياسات كلمة المرور. صحيح أن هذا لا يمنع حقيقة أن حسابات اللاعب تظهر باستمرار في قواعد البيانات المسربة. ظهرت حالة مثيرة للاهتمام على صفحة شبكة PlayStation - حظر التكرار ، وكذلك الأحرف الموجودة الواحدة تلو الأخرى على لوحة المفاتيح. ولكن لا يزال يتم تعيين بضع كلمات مرور القاموس.



سحابة تخزين الملفات


هذه الخدمات مفيدة لتوفير الوصول إلى البيانات من أي مكان في العالم حيث يوجد الوصول إلى الشبكة. ومع ذلك ، عادة ما يتم التضحية بالسلامة من أجل الراحة. هناك أيضًا ميل إلى منح المستخدم حرية اختيار كلمة مرور.



استضافة


الأمور المتعلقة بسياسات استضافة كلمة المرور ، للأسف ، ليست مشجعة على الإطلاق. من بين جميع الخدمات التي تمت دراستها ، قام اثنان فقط بطلب من كلمة مرور المستخدم. بالإضافة إلى ذلك ، كلمات مرور قاموس التصفية DigitalOcean و Vscale فقط.


موارد مسلية


سياسات كلمة المرور لموارد الترفيه هي أيضا غير موثوق بها. خدمة واحدة فقط "عبرت خط الفقر" في نظام النقاط لدينا. سمحت جميع الخدمات الأخرى التي تم التحقيق فيها باستخدام كلمات مرور القاموس ولم تطبق أي عمليات تحقق لتعيين كلمات المرور. على الرغم من كل هذا ، كان من الجيد معرفة إمكانية استخدام المصادقة الثنائية على بعض الموارد.



المدونات والمنتديات


لم تكن المدونات والمنتديات بعيدة للغاية - فقد قدمت متطلبات قليلة بشكل غير معقول لكلمات مرور المستخدم ولم تتحقق منها. يمكن تبرير هذه الحالة للخدمات المدروسة بالرغبة في عدم إخافة المستخدمين بمجموعة كبيرة من القواعد. في السعي لتحقيق شعبية ، يتم هبط الأمن إلى الخلفية. ولم نقم بتخطي Habr - لقد فحصنا بصراحة سياسات كلمة المرور الخاصة به ، ولم تكن النتائج مثيرة للإعجاب على الإطلاق: لا يوجد التحقق من مطابقة كلمات المرور مع كلمات مرور تسجيل الدخول أو القاموس ، ولا توجد توصيات للأحرف المستخدمة.


الاستنتاجات


تبقى الصورة كما هي: لا يزال استخدام كلمة مرور قوية مبادرة خاصة. فقط عدد قليل من موارد الإنترنت الأكثر شعبية لديها متطلبات جدية للمصادقة. يمكن تفسير هذا الموقف تجاه المصادقة الآمنة من خلال متابعة الخدمات من قبل الجمهور. هنا تحتاج إلى اختيار "الوسط الذهبي": القواعد المعقدة للغاية ستجبرك على قضاء المزيد من الوقت في التسجيل ، مما قد يخيف المستخدم. من ناحية أخرى ، فإن الغياب الكامل للسياسات يستلزم بالضرورة حدوث حوادث أمنية.


ومع ذلك ، بغض النظر عن مدى صعوبة محاولة مطوري الخدمة ، إذا كان المستخدم نفسه لا يعتني بحمايته ، فلن يساعده أحد. يمكن الاطلاع على النص الكامل للدراسة هنا .

Source: https://habr.com/ru/post/ar439184/

More articles:


All Articles