Em 2015, já testamos políticas de senha dos maiores serviços da Web, cujos resultados foram apresentados aqui . E agora, após 4 anos, decidimos atualizar e expandir este estudo. No estudo de 2019, testamos 157 serviços, divididos em 14 categorias, dependendo da finalidade. Se você está interessado em saber como grandes recursos como Gmail, Facebook, eBay, PayPal, Steam, base de moedas, DropBox, GitHub e muitos outros são adequados para políticas de senha, seja bem-vindo!
Para impedir que os usuários se restrinjam às senhas mais simples no processo de registro de uma conta e, portanto, não se ponham em risco, existem políticas de senha. Eles determinam os requisitos para o comprimento das senhas, os tipos de caracteres permitidos e necessários para o uso, o grau de complexidade etc. No decorrer do estudo, descobrimos quais políticas de senha são usadas em vários serviços da Web.
Deve-se notar imediatamente que você não deve confiar completamente nos requisitos de recursos da web ao escolher sua senha. O estudo mostrou que, mesmo que você siga todas as recomendações, o serviço pode permitir que você use algumas das senhas de dicionário mais comuns.
Metodologia de pesquisa
Para conduzir a análise, determinamos um conjunto de regras, apresentado na Tabela 1, - uma compilação de recomendações de muitos serviços, populares e não muito.
O próximo passo foi avaliar os requisitos de recursos com pontos. Para cada defeito, que pode levar a um "enfraquecimento" da senha, os pontos foram deduzidos. E, pelo contrário, serviços com ótimas recomendações ganharam pontos bem merecidos. Quanto mais pontos, melhor correspondentemente a política de senha do serviço.
Obviamente, o pior de tudo é que, se não houver regras para a criação de senhas, e um pequeno número de pontos aqui não exigir explicação. No entanto, uma abordagem na qual um serviço requer uma combinação de no máximo 20 caracteres ou proíbe o uso de caracteres especiais também "enfraquece" as senhas. Portanto, neste caso, a subtração de pontos é justificada.
Além das regras listadas, 0,5 pontos acrescentou a presença de autenticação de dois fatores para o serviço.
Também formamos uma lista curta de senhas (consulte a Tabela 2), que de um grau ou de outro atendem a essas regras, mas também são dicionários e frequentemente usadas. Se o serviço permitisse se registrar nas combinações propostas, ele perderia pontos.
Um ataque de dicionário acelera bastante a quebra de senhas e aumenta as chances de um ataque bem-sucedido de força bruta. Para testar a capacidade de definir senhas simples, as senhas foram selecionadas em vários dicionários conhecidos:
- As 100 piores senhas
- As 10.000 piores senhas
- O RockYou Dictionary é um dos dicionários mais populares para ataque de força bruta. Ele inclui senhas roubadas do site hackeado do RockYou, um desenvolvedor de aplicativos de mídia social.
Para maior clareza, adicionamos várias "conquistas" para as deficiências da política de senhas.
Testando diretivas de senha de serviço da Web
Como resultado dos testes, foram analisados 157 recursos para diversos fins. A lista de categorias selecionadas foi expandida, passando para as antigas:
- Hospedagem
- Gerenciadores de senhas
- Serviços de notícias
- Recursos divertidos
- Blogs e Fóruns
- Internet banking
O estudo completo pode ser lido no link .
Vamos ver os resultados imediatamente. Na tabela abaixo, você pode encontrar os líderes e as pessoas de fora de cada grupo de serviços, comparar o número de conquistas alcançadas, mas o mais importante é descobrir quem está mais preocupado com a segurança das contas de seus usuários.
Nem sempre os maiores serviços prestam atenção suficiente à proteção contra a criação de senhas simples e, portanto, à segurança das contas de usuário. Apenas alguns dos recursos mais populares da Internet têm sérios requisitos de autenticação.
Redes sociais
Mostramos como contamos pontos no exemplo das redes sociais. A tabela de distribuição de pontos é a seguinte.
Os resultados finais neste grupo de serviços.
A maioria dos serviços estudados possui requisitos mínimos de senha. Basicamente, as restrições são impostas apenas no comprimento mínimo. Comparado com o estudo anterior, desta vez as senhas “cresceram”, com pelo menos 6 a 8 caracteres. No entanto, ainda não há verificação de senha do dicionário. As redes sociais ainda não se importam com a senha que você usa. Assim, avaliamos todos os 14 grupos de serviço. O que mudou nos últimos dois anos?
Na classificação geral, os serviços de correio ainda estão liderando, o que é bastante lógico e justificado, mas as redes sociais deixaram sua segunda posição e passaram para o meio da lista. Os serviços de comércio eletrônico foram ainda mais baixos no ranking do que antes.
Serviços de correio
Como há 4 anos, o recurso Pobox acabou sendo um intruso entre os serviços de email. Ele se juntou ao serviço de correio ProtonMail, que não usa nenhuma diretiva de senha e coloca toda a responsabilidade pela força da senha nas costas do usuário.
Serviços de criptomoeda
No grupo de serviços de criptomoeda, o anteriormente atrasado em termos de serviços de segurança CEX.IO e BitPay fortaleceram suas políticas e agora estão assumindo posições intermediárias.
Internet banking
Somente na terceira linha da classificação estavam os serviços bancários pela Internet. Seria lógico supor que os serviços dessa categoria estariam definitivamente mais atentos à segurança das contas de seus usuários. Na realidade, tudo acabou sendo um pouco diferente. Verificou-se que nem todos os serviços implementaram uma senha correspondente ao login ou email. Descobriu-se também usar a maioria das senhas do dicionário. Obviamente, os códigos de confirmação por SMS únicos são bons, mas apenas enquanto o telefone está em suas mãos. Em geral, o nível de qualidade das políticas de senha para os serviços investigados é comparável aos gerenciadores de senhas ou serviços de criptomoeda.
Serviços de pagamento
No grupo de serviços de pagamento WebMoney nos últimos anos, a partir de uma posição de liderança mudou-se para o final da lista. Quase todos os serviços oferecem um grande número de recomendações para a escolha de uma senha. Obviamente, eles bloqueiam as senhas mais simples, mas ainda assim um nível semelhante de segurança é inaceitável no contexto de tais serviços.
Serviços de jogos
Os serviços de jogos ficaram mais preocupados com as políticas de senha. É verdade que isso não impede que as contas dos jogadores apareçam constantemente nos bancos de dados vazados. Uma condição interessante apareceu na página da PlayStation Network - a proibição de repetição e de caracteres localizados um após o outro no teclado. Mas algumas senhas de dicionário ainda conseguiram ser definidas.
Armazenamento de arquivos na nuvem
Esses serviços são úteis para fornecer acesso a dados de qualquer lugar do mundo em que haja acesso à rede. No entanto, a segurança é geralmente sacrificada por conforto. Também existe uma tendência a dar ao usuário a liberdade de escolher uma senha.
Hospedagem
Infelizmente, as coisas relacionadas às políticas de hospedagem de senhas não são nada animadoras. De todos os serviços estudados, apenas dois exigiram a senha do usuário. Além disso, apenas as senhas dos dicionários de filtros DigitalOcean e Vscale.
Recursos divertidos
As políticas de senha para recursos de entretenimento também não são credíveis. Apenas um serviço "cruzou a linha da pobreza" em nosso sistema de pontos. Todos os outros serviços investigados permitiram o uso de senhas de dicionário e não aplicaram nenhuma verificação para definir senhas. Apesar de tudo isso, foi bom saber sobre a possibilidade de usar autenticação de dois fatores em alguns recursos.
Blogs e Fóruns
Os blogs e fóruns não foram longe demais - eles apresentaram poucos requisitos irracionais para senhas de usuários e não os verificaram. Esse estado de coisas para os serviços estudados pode ser justificado pelo desejo de não assustar os usuários com um grande conjunto de regras. Na busca da popularidade, a segurança é relegada a segundo plano. E não passamos por cima de Habr - verificamos honestamente suas políticas de senha, os resultados não foram de todo impressionantes: não há verificação da correspondência de senhas com senhas de login ou dicionário, nenhuma recomendação para os caracteres usados.
Conclusões
A imagem permanece a mesma: o uso de uma senha forte ainda é uma iniciativa privada. Apenas alguns dos recursos mais populares da Internet têm sérios requisitos de autenticação. Essa atitude em relação à autenticação segura pode ser explicada pela busca de serviços pelo público. Aqui você precisa escolher a “média de ouro”: regras muito complexas forçarão você a gastar muito mais tempo no registro, o que pode assustar o usuário. Por outro lado, a completa ausência de políticas necessariamente implica a ocorrência de incidentes de segurança.
No entanto, não importa o quanto os desenvolvedores de serviços tentem, se o próprio usuário não cuidar de sua proteção, ninguém o ajudará. O texto completo do estudo pode ser encontrado aqui .