Bereits 2015 haben wir die Passwortrichtlinien der größten Webdienste getestet, deren Ergebnisse hier vorgestellt wurden . Und jetzt, nach 4 Jahren, haben wir beschlossen, diese Studie zu aktualisieren und zu erweitern. In der Studie von 2019 haben wir 157 Dienste getestet, die je nach Zweck in 14 Kategorien unterteilt sind. Wenn Sie daran interessiert sind, wie große Ressourcen wie Google Mail, Facebook, eBay, PayPal, Steam, Coinbase, DropBox, GitHub und viele andere für Kennwortrichtlinien geeignet sind, können Sie diese gerne kürzen!
Um zu verhindern, dass Benutzer sich bei der Registrierung eines Kontos auf die einfachsten Kennwörter beschränken und sich dadurch nicht selbst gefährden, gibt es Kennwortrichtlinien. Sie bestimmen die Anforderungen an die Länge von Kennwörtern, die zulässigen und für die Verwendung erforderlichen Zeichentypen, den Grad der Komplexität usw. Im Verlauf der Studie haben wir herausgefunden, welche Kennwortrichtlinien für verschiedene Webdienste verwendet werden.
Es sollte sofort beachtet werden, dass Sie sich bei der Auswahl Ihres Passworts nicht vollständig auf die Anforderungen der Webressourcen verlassen sollten. Die Studie hat gezeigt, dass Sie mit dem Dienst möglicherweise einige der am häufigsten verwendeten Wörterbuchkennwörter verwenden können, selbst wenn Sie alle Empfehlungen befolgen.
Forschungsmethodik
Um die Analyse durchzuführen, haben wir eine Reihe von Regeln festgelegt, die in Tabelle 1 dargestellt sind - eine Zusammenstellung von Empfehlungen vieler Dienste, die beliebt und nicht sehr beliebt sind.
Der nächste Schritt bestand darin, den Ressourcenbedarf mit Punkten zu bewerten. Für jeden Fehler, der letztendlich zu einer "Schwächung" des Passworts führen kann, wurden Punkte abgezogen. Und im Gegenteil, Dienste mit optimalen Empfehlungen haben verdiente Punkte verdient. Je mehr Punkte, desto besser die Passwortrichtlinie des Dienstes.
Das Schlimmste ist natürlich, wenn es überhaupt keine Regeln zum Erstellen von Passwörtern gibt und eine kleine Anzahl von Punkten hier keiner Erklärung bedarf. Ein Ansatz, bei dem ein Dienst eine Kombination von nicht mehr als 20 Zeichen erfordert oder die Verwendung von Sonderzeichen verbietet, „schwächt“ auch Passwörter. Daher ist in diesem Fall die Subtraktion von Punkten gerechtfertigt.
Zusätzlich zu den aufgeführten Regeln haben 0,5 Punkte das Vorhandensein einer Zwei-Faktor-Authentifizierung für den Dienst hinzugefügt.
Wir haben auch eine kurze Liste von Passwörtern erstellt (siehe Tabelle 2), die bis zu dem einen oder anderen Grad diesen Regeln entsprechen, aber auch Wörterbuch sind und häufig verwendet werden. Wenn der Dienst sich mit den vorgeschlagenen Kombinationen registrieren durfte, verlor er Punkte.
Ein Wörterbuchangriff beschleunigt das Knacken von Passwörtern erheblich und erhöht die Wahrscheinlichkeit eines erfolgreichen Brute-Force-Angriffs. Um die Fähigkeit zum Festlegen einfacher Passwörter zu testen, wurden Passwörter aus mehreren bekannten Wörterbüchern ausgewählt:
- Top 100 schlechtesten Passwörter
- Top 10.000 schlechtesten Passwörter
- RockYou Dictionary ist eines der beliebtesten Wörterbücher für Brute-Force-Angriffe. Es enthält Passwörter, die von der gehackten Website von RockYou, einem Entwickler von Social Media-Anwendungen, gestohlen wurden.
Aus Gründen der Klarheit haben wir eine Reihe von „Errungenschaften“ für die Mängel der Kennwortrichtlinie hinzugefügt.
Testen von Webdienst-Kennwortrichtlinien
Als Ergebnis von Tests wurden 157 Ressourcen für verschiedene Zwecke analysiert. Die Liste der ausgewählten Kategorien wurde erweitert und zu den alten hinzugefügt:
- Hosting
- Passwort-Manager
- Nachrichtendienste
- Unterhaltsame Ressourcen
- Blogs und Foren
- Internetbanking
Die vollständige Studie kann unter dem Link gelesen werden.
Schauen wir uns die Ergebnisse gleich an. In der folgenden Tabelle finden Sie die Führungskräfte und Außenseiter jeder Servicegruppe. Vergleichen Sie die Anzahl der erzielten Erfolge. Das Wichtigste ist jedoch, herauszufinden, wer sich mehr Sorgen um die Sicherheit der Konten seiner Benutzer macht.
Nicht immer achten selbst die größten Dienste ausreichend auf den Schutz vor der Erstellung einfacher Passwörter und damit auf die Sicherheit von Benutzerkonten. Nur einige der beliebtesten Internetressourcen haben ernsthafte Authentifizierungsanforderungen.
Soziale Netzwerke
Wir zeigen, wie wir am Beispiel sozialer Netzwerke Punkte gezählt haben. Die Punkteverteilungstabelle lautet wie folgt.
Die endgültigen Ergebnisse in dieser Gruppe von Dienstleistungen.
Die meisten der untersuchten Dienste haben Mindestanforderungen an das Passwort. Grundsätzlich gelten Einschränkungen nur für die Mindestlänge. Im Vergleich zur vorherigen Studie sind die Passwörter diesmal mit mindestens 6-8 Zeichen „aufgewachsen“. Es gibt jedoch noch keine Überprüfung des Wörterbuchkennworts. Sozialen Netzwerken ist es immer noch egal, welches Passwort Sie verwenden. Daher haben wir alle 14 Servicegruppen bewertet. Was hat sich in den letzten Jahren geändert?
In der Gesamtklassifizierung sind Postdienste immer noch führend, was durchaus logisch und gerechtfertigt ist, aber soziale Netzwerke haben ihre zweite Position verlassen und sind in die Mitte der Liste gerückt. E-Commerce-Dienste waren im Ranking noch niedriger als zuvor.
Mail-Dienste
Wie vor 4 Jahren erwies sich die Pobox-Ressource als Außenseiter unter den E-Mail-Diensten. Zu ihm gesellte sich der ProtonMail-Mail-Dienst, der keine Kennwortrichtlinien verwendet und die Verantwortung für die Kennwortstärke auf die Schultern des Benutzers legt.
Kryptowährungsdienste
In der Gruppe der Kryptowährungsdienste haben die zuvor in Bezug auf Sicherheitsdienste zurückgebliebenen CEX.IO und BitPay ihre Richtlinien gestärkt und nehmen nun mittlere Positionen ein.
Internetbanking
Nur in der dritten Zeile des Ratings befanden sich Internetbanking-Dienstleistungen. Es wäre logisch anzunehmen, dass die Dienste dieser Kategorie die Sicherheit der Benutzerkonten auf jeden Fall stärker berücksichtigen würden. In Wirklichkeit stellte sich heraus, dass alles etwas anders war. Es stellte sich heraus, dass nicht alle Dienste ein Kennwort implementierten, das mit Login oder Mail übereinstimmt. Es stellte sich heraus, dass auch die meisten Wörterbuchkennwörter verwendet wurden. Einmalige SMS-Bestätigungscodes sind natürlich gut, aber nur, wenn das Telefon in Ihren Händen ist. Im Allgemeinen ist das Qualitätsniveau der Kennwortrichtlinien für die untersuchten Dienste mit Kennwortmanagern oder Kryptowährungsdiensten vergleichbar.
Zahlungsdienste
In der Gruppe der Zahlungsdienste hat sich WebMoney in den letzten Jahren von einer führenden Position ganz unten auf der Liste bewegt. Fast jeder Dienst gibt eine Vielzahl von Empfehlungen für die Auswahl eines Passworts. Natürlich blockieren sie die einfachsten Passwörter, aber ein ähnliches Sicherheitsniveau ist im Zusammenhang mit solchen Diensten nicht akzeptabel.
Spieledienste
Spieledienste sind zunehmend besorgt über Passwortrichtlinien. Dies verhindert zwar nicht, dass Spielerkonten ständig in durchgesickerten Datenbanken angezeigt werden. Auf der PlayStation Network-Seite wurde eine interessante Bedingung angezeigt - das Verbot von wiederholten sowie nacheinander auf der Tastatur befindlichen Zeichen. Es konnten jedoch noch einige Wörterbuchkennwörter festgelegt werden.
Speicherung von Cloud-Dateien
Diese Dienste sind nützlich, um von überall auf der Welt, wo Netzwerkzugriff besteht, auf Daten zuzugreifen. Die Sicherheit wird jedoch normalerweise für den Komfort geopfert. Es besteht auch die Tendenz, dem Benutzer die Freiheit zu geben, ein Passwort zu wählen.
Hostings
Dinge in Bezug auf Passwort-Hosting-Richtlinien sind leider überhaupt nicht ermutigend. Von allen untersuchten Diensten stellten nur zwei Anforderungen an das Passwort des Benutzers. Außerdem werden nur DigitalOcean- und Vscale-Filterwörterbuchkennwörter verwendet.
Unterhaltsame Ressourcen
Kennwortrichtlinien für Unterhaltungsressourcen sind ebenfalls nicht glaubwürdig. Nur ein Dienst hat in unserem Punktesystem die Armutsgrenze überschritten. Alle anderen untersuchten Dienste erlaubten die Verwendung von Wörterbuchkennwörtern und führten keine Überprüfungen zum Festlegen von Kennwörtern durch. Trotz alledem war es schön zu wissen, ob für einige Ressourcen eine Zwei-Faktor-Authentifizierung möglich ist.
Blogs und Foren
Blogs und Foren gingen nicht zu weit - sie stellten unangemessen wenige Anforderungen an Benutzerkennwörter und überprüften sie nicht. Dieser Sachverhalt für die untersuchten Dienste kann durch den Wunsch gerechtfertigt werden, Benutzer nicht mit einem großen Regelwerk abzuschrecken. Im Streben nach Popularität wird Sicherheit in den Hintergrund gedrängt. Und wir haben Habr nicht übergangen - wir haben seine Passwortrichtlinien ehrlich überprüft, die Ergebnisse waren überhaupt nicht beeindruckend: Es gibt keine Überprüfung für die Übereinstimmung von Passwörtern mit Login- oder Wörterbuchpasswörtern, keine Empfehlungen für die verwendeten Zeichen.
Schlussfolgerungen
Das Bild bleibt das gleiche: Die Verwendung eines sicheren Passworts ist immer noch eine private Initiative. Nur einige der beliebtesten Internetressourcen haben ernsthafte Authentifizierungsanforderungen. Diese Einstellung zur sicheren Authentifizierung kann durch das Streben nach Diensten durch das Publikum erklärt werden. Hier müssen Sie den „goldenen Mittelwert“ wählen: Zu komplexe Regeln zwingen Sie dazu, erheblich mehr Zeit für die Registrierung aufzuwenden, was den Benutzer abschrecken kann. Andererseits führt das völlige Fehlen von Richtlinien zwangsläufig zum Auftreten von Sicherheitsvorfällen.
Egal wie sehr sich die Serviceentwickler bemühen, wenn der Benutzer sich nicht um seinen Schutz kümmert, wird ihm niemand helfen. Den vollständigen Text der Studie finden Sie hier .