En 2015, nous avons déjà testé les politiques de mot de passe des plus grands services Web, dont les résultats ont été présentés ici . Et maintenant, après 4 ans, nous avons décidé de mettre à jour et d'étendre cette étude. Dans l' étude de 2019, nous avons testé 157 services, répartis en 14 catégories selon leur finalité. Si vous êtes intéressé par la façon dont des ressources aussi importantes que Gmail, Facebook, eBay, PayPal, Steam, coinbase, DropBox, GitHub et bien d'autres conviennent aux politiques de mot de passe, bienvenue à couper!
Pour empêcher les utilisateurs de se limiter aux mots de passe les plus simples lors de l'enregistrement d'un compte et donc de ne pas se mettre en danger, des politiques de mot de passe existent. Ils déterminent les exigences relatives à la longueur des mots de passe, les types de caractères autorisés et requis pour l'utilisation, le degré de complexité, etc. Au cours de l'étude, nous avons découvert quelles politiques de mot de passe sont utilisées sur divers services Web.
Il convient de noter immédiatement que vous ne devez pas vous fier entièrement aux exigences des ressources Web lors du choix de votre mot de passe. L'étude a montré que même si vous suivez toutes les recommandations, le service peut vous permettre d'utiliser certains des mots de passe de dictionnaire les plus courants.
Méthodologie de recherche
Pour mener l'analyse, nous avons déterminé un ensemble de règles, présentées dans le tableau 1, - une compilation de recommandations de nombreux services, populaires et peu nombreux.
L'étape suivante consistait à évaluer les besoins en ressources avec des points. Pour chaque défaut, pouvant éventuellement conduire à un "affaiblissement" du mot de passe, des points ont été déduits. Et, au contraire, des services avec des recommandations optimales ont mérité des points bien mérités. Plus il y a de points, meilleure est la politique de mot de passe du service.
Bien sûr, le pire de tous, s'il n'y a pas de règles pour créer des mots de passe, et qu'un petit nombre de points ici ne nécessitent aucune explication. Cependant, une approche dans laquelle un service requiert une combinaison de 20 caractères maximum ou interdit l'utilisation de caractères spéciaux "affaiblit" également les mots de passe. Par conséquent, dans ce cas, la soustraction de points est justifiée.
En plus des règles énumérées, 0,5 point a ajouté la présence d'une authentification à deux facteurs pour le service.
Nous avons également constitué une courte liste de mots de passe (voir le tableau 2) qui, à un degré ou à un autre, satisfont à ces règles, mais sont également des dictionnaires et sont souvent utilisés. Si le service permettait de s'inscrire avec les combinaisons proposées, il perdait des points.
Une attaque par dictionnaire accélère considérablement le craquage de mot de passe et augmente les chances d'une attaque par force brute réussie. Pour tester la possibilité de définir des mots de passe simples, les mots de passe ont été sélectionnés parmi plusieurs dictionnaires bien connus:
- Top 100 des pires mots de passe
- 10000 pires mots de passe
- RockYou Dictionary est l'un des dictionnaires les plus populaires pour les attaques par force brute. Il comprend des mots de passe volés sur le site piraté de RockYou, développeur d'applications de médias sociaux.
Pour plus de clarté, nous avons ajouté un certain nombre de «réalisations» pour les lacunes de la politique de mot de passe.
Test des stratégies de mot de passe du service Web
À la suite des tests, 157 ressources à des fins diverses ont été analysées. La liste des catégories sélectionnées s'est étendue, aux anciennes ajoutées:
- Hébergement
- Gestionnaires de mots de passe
- Services d'actualités
- Ressources divertissantes
- Blogs et forums
- Services bancaires par Internet
L'étude complète peut être lue sur le lien .
Regardons les résultats tout de suite. Dans le tableau ci-dessous, vous pouvez trouver les dirigeants et les étrangers de chaque groupe de services, comparer le nombre de réalisations, mais le plus important est de savoir qui est le plus préoccupé par la sécurité des comptes de leurs utilisateurs.
Même les plus grands services ne prêtent pas toujours suffisamment d'attention à la protection contre la création de mots de passe simples, et donc à la sécurité des comptes utilisateurs. Seules quelques-unes des ressources Internet les plus populaires ont des exigences d'authentification sérieuses.
Réseaux sociaux
Nous montrons comment nous avons compté des points sur l'exemple des réseaux sociaux. Le tableau de répartition des points est le suivant.
Le résultat final dans ce groupe de services.
La plupart des services étudiés ont des exigences de mot de passe minimum. Fondamentalement, les restrictions ne sont imposées que sur la longueur minimale. Par rapport à l'étude précédente, cette fois les mots de passe «ont grandi», au moins 6 à 8 caractères. Cependant, il n'y a toujours pas de vérification du mot de passe du dictionnaire. Les réseaux sociaux ne se soucient toujours pas du mot de passe que vous utilisez. Ainsi, nous avons évalué les 14 groupes de services. Qu'est-ce qui a changé au cours des deux dernières années?
Dans le classement général, les services postaux sont toujours en tête, ce qui est assez logique et justifié, mais les réseaux sociaux ont laissé leur deuxième position et sont passés au milieu de la liste. Les services de commerce électronique étaient encore plus bas dans le classement qu'auparavant.
Services de courrier
Comme il y a 4 ans, la ressource Pobox s'est avérée être un outsider parmi les services de messagerie. Il a été rejoint par le service de messagerie ProtonMail, qui n'utilise aucune politique de mot de passe et met toute la responsabilité de la force du mot de passe sur les épaules de l'utilisateur.
Services de crypto-monnaie
Dans le groupe des services de crypto-monnaie, les précédents en termes de services de sécurité CEX.IO et BitPay ont renforcé leurs politiques et prennent maintenant des positions intermédiaires.
Services bancaires par Internet
Ce n'est que sur la troisième ligne de la notation que se trouvaient les services bancaires par Internet. Il serait logique de supposer que les services de cette catégorie seraient certainement plus attentifs à la sécurité des comptes de leurs utilisateurs. En réalité, tout s'est avéré être légèrement différent. Il s'est avéré que tous les services n'ont pas mis en place un mot de passe correspondant à la connexion ou au courrier. Il s'est avéré également utiliser la plupart des mots de passe du dictionnaire. Bien sûr, les codes de confirmation SMS uniques sont bons, mais uniquement lorsque le téléphone est entre vos mains. En général, le niveau de qualité des politiques de mot de passe pour les services étudiés est comparable à celui des gestionnaires de mots de passe ou des services de crypto-monnaie.
Services de paiement
Dans le groupe de services de paiement WebMoney ces dernières années, d'une position de leader est passé tout en bas de la liste. Presque chaque service donne un grand nombre de recommandations pour choisir un mot de passe. Bien sûr, ils bloquent les mots de passe les plus simples, mais un niveau de sécurité similaire est toujours inacceptable dans le contexte de ces services.
Services de jeux
Les services de jeux sont devenus plus préoccupés par les politiques de mot de passe. Certes, cela n'empêche pas le fait que les comptes des joueurs apparaissent constamment dans les bases de données divulguées. Une condition intéressante est apparue sur la page PlayStation Network - l'interdiction de répéter, ainsi que les caractères situés l'un après l'autre sur le clavier. Mais quelques mots de passe de dictionnaire ont quand même réussi à être définis.
Stockage de fichiers dans le cloud
Ces services sont utiles pour fournir un accès aux données de n'importe où dans le monde où il y a un accès réseau. Cependant, la sécurité est généralement sacrifiée pour le confort. Il existe également une tendance à donner à l'utilisateur la liberté de choisir un mot de passe.
Hébergement
Les choses concernant les politiques d'hébergement des mots de passe, malheureusement, ne sont pas du tout encourageantes. De tous les services étudiés, seuls deux ont exigé le mot de passe de l'utilisateur. De plus, seuls les mots de passe du dictionnaire de filtrage DigitalOcean et Vscale.
Ressources divertissantes
Les politiques de mot de passe pour les ressources de divertissement ne sont pas non plus crédibles. Un seul service «a franchi le seuil de pauvreté» dans notre système de points. Tous les autres services étudiés ont autorisé l'utilisation de mots de passe de dictionnaire et n'ont appliqué aucune vérification pour définir les mots de passe. Malgré tout cela, il était agréable de connaître la possibilité d'utiliser l'authentification à deux facteurs sur certaines ressources.
Blogs et forums
Les blogs et les forums ne sont pas allés trop loin - ils ont présenté un nombre déraisonnablement faible d'exigences pour les mots de passe des utilisateurs et ne les ont pas vérifiés. Cet état de fait pour les services étudiés peut être justifié par la volonté de ne pas effrayer les utilisateurs avec un large ensemble de règles. Dans la poursuite de la popularité, la sécurité est reléguée au second plan. Et nous n'avons pas dépassé Habr - nous avons honnêtement vérifié ses politiques de mot de passe, les résultats n'étaient pas du tout impressionnants: il n'y a pas de vérification de la correspondance des mots de passe avec les mots de passe de connexion ou de dictionnaire, aucune recommandation pour les caractères utilisés.
Conclusions
L'image reste la même: l'utilisation d'un mot de passe fort est toujours une initiative privée. Seules quelques-unes des ressources Internet les plus populaires ont des exigences d'authentification sérieuses. Cette attitude envers l'authentification sécurisée peut s'expliquer par la recherche de services par le public. Ici, vous devez choisir le «moyen d'or»: des règles trop complexes vous obligeront à consacrer beaucoup plus de temps à l'enregistrement, ce qui peut effrayer l'utilisateur. D'un autre côté, l'absence totale de politiques entraînera nécessairement la survenue d'incidents de sécurité.
Cependant, peu importe les efforts des développeurs de services, si l'utilisateur lui-même ne prend pas soin de sa protection, personne ne l'aidera. Le texte intégral de l'étude est disponible ici .