早在2015年,我们已经测试了最大的Web服务的密码策略,其结果在此处显示 。 而现在,经过4年的努力,我们决定更新并扩展这项研究。 在2019年的研究中,我们测试了157种服务,根据其目的分为14类。 如果您对Gmail,Facebook,eBay,PayPal,Steam,coinbase,DropBox,GitHub等众多大型资源如何适用于密码策略感兴趣,欢迎参加!
为了防止用户在注册帐户的过程中将自己限制为最简单的密码,从而避免陷入危险之中,存在密码策略。 他们确定密码长度的要求,允许使用的字符类型和要求的使用程度,复杂程度等。在研究过程中,我们发现了各种Web服务上使用了哪种密码策略。
应当立即指出,选择密码时,您不应完全依赖于Web资源的要求。 研究表明,即使您遵循所有建议,该服务也可能允许您使用一些最常见的词典密码。
研究方法
为了进行分析,我们确定了一组规则,如表1所示-包括但不非常受欢迎的许多服务的建议的汇总。
下一步是用分数评估资源需求。 对于可能最终导致密码“弱化”的每个缺陷,将扣除分数。 相反,具有最佳建议的服务获得了当之无愧的积分。 点数越多,服务的密码策略越好。
当然,最糟糕的是,如果根本没有创建密码的规则,那么这里的几点都不需要解释。 但是,一种服务要求组合使用不超过20个字符或禁止使用特殊字符的方法,也会“削弱”密码。 因此,在这种情况下,减去点是合理的。
除了列出的规则外,0.5分还增加了该服务的两因素身份验证。
我们还形成了一个简短的密码列表(请参阅表2),在某种程度上满足这些规则,但它们也是字典并且经常使用。 如果服务允许使用建议的组合进行注册,他将失去积分。
字典攻击极大地加速了密码破解,并增加了成功进行暴力攻击的机会。 为了测试设置简单密码的能力,从几个著名的词典中选择了密码:
为了清楚起见,我们为密码策略的缺点添加了一些“成就”。
测试Web服务密码策略
测试的结果是,分析了157种用于各种目的的资源。 所选类别的列表已扩展到添加的旧类别:
全文可在链接上阅读。
让我们立即查看结果。 在下表中,您可以找到每组服务的负责人和局外人,比较所取得的成就,但是最重要的是找出谁更担心用户帐户的安全性。
即使最大的服务也不一定总是足够注意防止创建简单密码,从而防止用户帐户的安全。 只有少数最流行的Internet资源具有严格的身份验证要求。
社交网络
我们以社交网络为例说明如何计算点数。 积分分布表如下。
这组服务的最终结果。
研究的大多数服务都具有最低密码要求。 基本上,仅对最小长度施加限制。 与以前的研究相比,这次密码“长大了”,至少6-8个字符。 但是,仍然没有字典密码验证。 社交网络仍然不在乎您使用什么密码。 因此,我们对所有14个服务组进行了评级。 过去几年发生了什么变化?
在总体分类中,邮件服务仍然处于领先地位,这是合乎逻辑的和合理的,但是社交网络已经离开了第二位,移至列表的中间。 电子商务服务的排名甚至比以前更低。
邮件服务
像4年前一样,Pobox资源被证明是电子邮件服务中的局外人。 ProtonMail邮件服务加入了他的行列,该服务不使用任何密码策略,并将密码强度的全部责任由用户承担。
加密货币服务
在加密货币服务组中,以前在安全服务CEX.IO和BitPay方面落后的国家加强了其政策,现在处于中间位置。
网上银行
排名第三的是网上银行服务。 假设此类服务肯定会更加注意其用户帐户的安全性是合乎逻辑的。 实际上,一切都略有不同。 事实证明,并非所有服务都实现了与登录名或邮件匹配的密码。 原来,它也使用了大多数词典密码。 当然,一次性的SMS确认码是好的,但是只有在手机握在手中时。 通常,所调查服务的密码策略质量水平与密码管理器或加密货币服务相当。
付款服务
在近几年的WebMoney付款服务组中,领导地位已移至列表的最底端。 几乎每种服务都会提供大量建议,供您选择密码。 当然,它们会阻止最简单的密码,但是在此类服务的上下文中,仍然无法接受类似级别的安全性。
游戏服务
游戏服务已变得更加关注密码策略。 没错,这并不能防止玩家帐户不断出现在泄漏的数据库中。 一个有趣的情况出现在PlayStation Network页面上-禁止重复出现,以及在键盘上接连放置的字符。 但是仍然可以设置几个字典密码。
云文件存储
这些服务可用于提供来自世界各地可访问网络的数据的访问。 然而,通常为了舒适而牺牲安全性。 还存在使用户自由选择密码的趋势。
主持人
不幸的是,关于密码托管策略的事情一点也不令人鼓舞。 在研究的所有服务中,只有两个要求用户密码。 此外,只有DigitalOcean和Vscale过滤器词典密码。
娱乐资源
娱乐资源的密码策略也不可靠。 在我们的积分系统中,只有一项服务“越过贫困线”。 所有其他受调查的服务都允许使用字典密码,并且不进行任何检查来设置密码。 尽管如此,很高兴知道在某些资源上使用两因素身份验证的可能性。
博客和论坛
博客和论坛并没有走太远-他们对用户密码提出的要求不合理,并且没有检查它们。 所研究的服务的这种状态可以通过不希望用大量规则吓跑用户的愿望来证明。 为了追求普及,将安全性降到了背景。 而且我们没有跳过Habr-我们诚实地检查了其密码策略,结果一点也不令人印象深刻:没有检查密码是否与登录密码或字典密码匹配,也没有建议使用的字符。
结论
情况保持不变:使用强密码仍然是一个私人举措。 只有少数最流行的Internet资源具有严格的身份验证要求。 这种对安全认证的态度可以通过听众对服务的追求来解释。 在这里,您需要选择“黄金平均值”:过于复杂的规则将迫使您在注册上花费大量时间,这可能会使用户感到恐惧。 另一方面,完全没有策略将必然导致安全事件的发生。
但是,无论服务开发人员如何努力,如果用户本人不注意自己的保护,没有人会帮助他。 该研究的全文可在此处找到。