Kembali pada tahun 2015, kami telah menguji kebijakan kata sandi dari layanan web terbesar, yang hasilnya disajikan di sini . Dan sekarang, setelah 4 tahun, kami memutuskan untuk memperbarui dan memperluas studi ini. Dalam studi 2019, kami menguji 157 layanan, dibagi menjadi 14 kategori tergantung pada tujuannya. Jika Anda tertarik pada seberapa besar sumber daya seperti Gmail, Facebook, eBay, PayPal, Steam, coinbase, DropBox, GitHub dan banyak lainnya yang cocok untuk kebijakan kata sandi, selamat datang di cut!
Untuk mencegah pengguna membatasi diri pada kata sandi paling sederhana dalam proses mendaftarkan akun dan karenanya tidak menempatkan diri mereka dalam bahaya, kebijakan kata sandi ada. Mereka menentukan persyaratan untuk panjang kata sandi, jenis karakter yang diizinkan dan diperlukan untuk digunakan, tingkat kerumitan, dll. Dalam studi ini, kami menemukan kebijakan kata sandi apa yang digunakan pada berbagai layanan web.
Harus segera dicatat bahwa Anda tidak harus sepenuhnya bergantung pada persyaratan sumber daya web saat memilih kata sandi Anda. Studi ini menunjukkan bahwa meskipun Anda mengikuti semua rekomendasi, layanan ini memungkinkan Anda untuk menggunakan beberapa kata sandi kamus yang paling umum.
Metodologi penelitian
Untuk melakukan analisis, kami menentukan seperangkat aturan, disajikan pada Tabel 1, - kompilasi rekomendasi dari banyak layanan, populer dan tidak terlalu.
Langkah selanjutnya adalah mengevaluasi persyaratan sumber daya dengan poin. Untuk setiap cacat, yang pada akhirnya dapat menyebabkan "pelemahan" kata sandi, poin dikurangi. Dan, sebaliknya, layanan dengan rekomendasi optimal mendapat poin yang layak. Semakin banyak poin, semakin baik kebijakan kata sandi layanan.
Tentu saja, yang terburuk, jika tidak ada aturan untuk membuat kata sandi sama sekali, dan sejumlah kecil poin di sini tidak memerlukan penjelasan. Namun, suatu pendekatan di mana suatu layanan memerlukan kombinasi tidak lebih dari 20 karakter atau melarang penggunaan karakter khusus juga “melemahkan” kata sandi. Oleh karena itu, dalam hal ini, pengurangan poin dibenarkan.
Selain aturan yang tercantum, 0,5 poin menambahkan keberadaan otentikasi dua faktor untuk layanan ini.
Kami juga membentuk daftar kata sandi singkat (lihat Tabel 2), yang sedikit banyak memenuhi aturan ini, tetapi juga kamus dan sering digunakan. Jika layanan diizinkan untuk mendaftar dengan kombinasi yang diusulkan, ia kehilangan poin.
Serangan kamus sangat mempercepat pemecahan kata sandi dan meningkatkan peluang serangan brute force yang berhasil. Untuk menguji kemampuan mengatur kata sandi sederhana, kata sandi dipilih dari beberapa kamus terkenal:
- 100 kata sandi terburuk
- 10.000 kata sandi terburuk
- Kamus RockYou adalah salah satu kamus paling populer untuk serangan brute force. Ini termasuk kata sandi yang dicuri dari situs yang diretas dari RockYou, pengembang aplikasi media sosial.
Untuk kejelasan, kami menambahkan sejumlah "prestasi" untuk kekurangan kebijakan kata sandi.
Menguji Kebijakan Sandi Layanan Web
Sebagai hasil pengujian, 157 sumber daya untuk berbagai keperluan dianalisis. Daftar kategori yang dipilih telah diperluas, ke yang lama ditambahkan:
- Hosting
- Pengelola Kata Sandi
- Layanan Berita
- Menghibur sumber daya
- Blog dan Forum
- Perbankan internet
Studi lengkap dapat dibaca di tautan .
Mari kita lihat hasilnya segera. Pada tabel di bawah ini Anda dapat menemukan pemimpin dan orang luar dari masing-masing kelompok layanan, bandingkan jumlah pencapaian yang dicapai, tetapi yang paling penting adalah mencari tahu siapa yang lebih khawatir tentang keamanan akun pengguna mereka.
Bahkan layanan terbesar sekalipun tidak selalu memperhatikan perlindungan terhadap pembuatan kata sandi sederhana, dan karenanya keamanan akun pengguna. Hanya beberapa sumber daya Internet paling populer yang memiliki persyaratan otentikasi serius.
Jejaring sosial
Kami menunjukkan bagaimana kami menghitung poin pada contoh jejaring sosial. Tabel distribusi poin adalah sebagai berikut.
Hasil akhir dalam kelompok layanan ini.
Sebagian besar layanan yang dipelajari memiliki persyaratan kata sandi minimum. Pada dasarnya, pembatasan hanya diberlakukan pada panjang minimum. Dibandingkan dengan penelitian sebelumnya, kali ini kata sandi "dibesarkan", setidaknya 6-8 karakter. Namun, masih belum ada verifikasi kata sandi kamus. Jaringan sosial masih tidak peduli kata sandi apa yang Anda gunakan. Karenanya, kami memberi peringkat ke-14 grup layanan. Apa yang telah berubah selama beberapa tahun terakhir?
Dalam klasifikasi keseluruhan, layanan surat masih memimpin, yang cukup logis dan masuk akal, tetapi jejaring sosial telah meninggalkan posisi kedua mereka dan pindah ke tengah daftar. Layanan e-commerce bahkan lebih rendah di peringkat daripada sebelumnya.
Layanan surat
Seperti 4 tahun lalu, sumber daya Pobox ternyata adalah orang luar di antara layanan email. Dia bergabung dengan layanan surat ProtonMail, yang tidak menggunakan kebijakan kata sandi dan menempatkan semua tanggung jawab untuk kekuatan kata sandi di pundak pengguna.
Layanan Cryptocurrency
Dalam kelompok layanan cryptocurrency, yang sebelumnya tertinggal dalam hal layanan keamanan CEX.IO dan BitPay telah memperkuat kebijakan mereka dan sekarang mengambil posisi menengah.
Perbankan internet
Hanya di baris ketiga peringkat adalah layanan perbankan Internet. Masuk akal untuk berasumsi bahwa layanan dalam kategori ini pasti akan lebih memperhatikan keamanan akun pengguna mereka. Pada kenyataannya, semuanya ternyata sedikit berbeda. Ternyata tidak semua layanan menerapkan kata sandi yang cocok dengan login atau surat. Ternyata juga menggunakan sebagian besar kata sandi kamus. Tentu saja, kode konfirmasi SMS sekali saja baik, tetapi hanya ketika telepon ada di tangan Anda. Secara umum, tingkat kualitas kebijakan kata sandi untuk layanan yang diselidiki sebanding dengan pengelola kata sandi atau layanan cryptocurrency.
Layanan pembayaran
Dalam grup layanan pembayaran WebMoney dalam beberapa tahun terakhir, dari posisi terdepan telah pindah ke bagian paling bawah daftar. Hampir setiap layanan memberikan sejumlah besar rekomendasi untuk memilih kata sandi. Tentu saja, mereka memblokir kata sandi yang paling sederhana, tetapi tingkat keamanan yang serupa tidak dapat diterima dalam konteks layanan tersebut.
Layanan Game
Layanan game menjadi lebih peduli tentang kebijakan kata sandi. Benar, ini tidak mencegah fakta bahwa akun pemain terus-menerus muncul di database yang bocor. Kondisi menarik muncul di halaman PlayStation Network - larangan mengulang, serta karakter yang terletak satu demi satu di keyboard. Tetapi beberapa kata sandi kamus masih berhasil diatur.
Penyimpanan file cloud
Layanan ini berguna untuk menyediakan akses ke data dari mana saja di dunia di mana ada akses jaringan. Namun, keselamatan biasanya dikorbankan untuk kenyamanan. Ada juga kecenderungan untuk memberi pengguna kebebasan untuk memilih kata sandi.
Tuan rumah
Sayangnya, hal-hal mengenai kebijakan hosting kata sandi sama sekali tidak menggembirakan. Dari semua layanan yang dipelajari, hanya dua yang membuat permintaan pada kata sandi pengguna. Selain itu, hanya kata sandi kamus DigitalOcean dan Vscale filter.
Menghibur sumber daya
Kebijakan kata sandi untuk sumber daya hiburan juga tidak dapat dipercaya. Hanya satu layanan yang “melewati garis kemiskinan” dalam sistem poin kami. Semua layanan lain yang diselidiki memungkinkan penggunaan kata sandi kamus dan tidak menerapkan pemeriksaan apa pun untuk menetapkan kata sandi. Terlepas dari semua ini, senang mengetahui kemungkinan menggunakan otentikasi dua faktor pada beberapa sumber.
Blog dan Forum
Blog dan forum tidak melangkah terlalu jauh - mereka menyajikan beberapa persyaratan yang tidak masuk akal untuk kata sandi pengguna dan tidak memeriksanya. Keadaan ini urusan untuk layanan yang dipelajari dapat dibenarkan oleh keinginan untuk tidak menakut-nakuti pengguna dengan seperangkat aturan besar. Dalam mengejar popularitas, keamanan diturunkan ke latar belakang. Dan kami tidak melewati Habr - kami dengan jujur memeriksa kebijakan kata sandinya, hasilnya sama sekali tidak mengesankan: tidak ada pemeriksaan untuk pencocokan kata sandi dengan kata sandi login atau kamus, tidak ada rekomendasi untuk karakter yang digunakan.
Kesimpulan
Gambarannya tetap sama: penggunaan kata sandi yang kuat masih merupakan inisiatif pribadi. Hanya beberapa sumber daya Internet paling populer yang memiliki persyaratan otentikasi serius. Sikap ini terhadap otentikasi aman dapat dijelaskan dengan mengejar layanan oleh audiens. Di sini Anda perlu memilih "rata-rata emas": aturan yang terlalu rumit akan memaksa Anda untuk menghabiskan lebih banyak waktu secara signifikan pada pendaftaran, yang dapat menakuti pengguna. Di sisi lain, ketiadaan kebijakan sepenuhnya akan memerlukan terjadinya insiden keamanan.
Namun, tidak peduli seberapa keras pengembang mencoba, jika pengguna itu sendiri tidak menjaga perlindungannya, tidak ada yang akan membantunya. Teks lengkap penelitian dapat ditemukan di sini .