Najpopularnije svetske veb stranice i dalje dozvoljavaju korišćenje loših lozinki

Stručnjaci za onlajn sigurnost tvrde da su definitivno očekivali da će više veb stranica primenjivati najbolje prakse.

Izvor: B92, Zimo petak, 24.06.2022. | 15:40 Podeli Foto: JMiks / Shutterstock.com

Foto: JMiks / Shutterstock.com

Tri četvrtine najpopularnijih svetskih veb stranica na engleskom jeziku i dalje omogućavaju ljudima da izaberu najčešće lozinke, kao što su „abc123456“ ili „P@$$w0rd“.

Više od polovine od 120 najbolje rangiranih veb stranica takođe dopušta svih 40 najčešćih procurelih i lako pogodnih lozinki. Stranice uključuju popularne portale za kupovinu kao što su Amazon i Walmart, društvenu mrežu TikTok, stranicu za streaming videa Netflix i kompaniju Intuit, kao i proizvođača softvera za povraćaj poreza TurboTax koji koriste milioni ljudi u SAD-u.

Amazon je za New Scientist rekao da preporučuje korisnicima postavljanje provere u dva koraka i da bi kompanija mogla „zahtevati dodatne izazove autentifikacije tokom prijave“ ako otkrije sigurnosni rizik. Glavni arhitekta Intuita Alex Balazs rekao je da će istražiti nalaze i istakao je Intuitovu upotrebu višefaktorske provere autentičnosti i otkrivanja prevara. Ostale gore pomenute kompanije nisu odgovorile na zahtev New Scientista za komentar.

„Iz ovoga se može zaključiti da kompanije jednostavno ne mare za sigurnost korisnika, ali mislim da to nije u redu… dopuštanje hakovanja naloga uopšte nije u njihovom interesu“, kaže Arvind Narajanan sa Prinston univerziteta.

Kako bi izvršili analizu veb stranica na engleskom jeziku, koje su razne internet usluge rangirale kao popularne, Narajanan i njegove kolege ručno su proverili 40 lozinki na svakoj stranici. Koristeći zahteve za lozinkom svake stranice, odabrali su 20 iz nasumičnog uzorka od 100.000 najčešće korištenih lozinki pronađenih u kršenju podataka, zajedno s prvih 20 lozinki koje je pogodio alat za razbijanje lozinki.

Samo 15 veb stranica prošlo sigurnosni test

Samo 15 veb stranica blokiralo je svih 40 testiranih lozinki. To uključuje Google, Adobe, Twitch, GitHub i Grammarly.

Američki nacionalni institut za standarde i tehnologiju je 2017. godine objavio niz preporuka za veb stranice koje je potrebno slediti, kao što je uključivanje merača snage koji podstiču korisnike da kreiraju jače lozinke, održavanje popisa blokiranih lozinki koje su procurile i lako pogodne i dopuštanje samo lozinki koje imaju najmanje osam znakova.

Tek svaka šesta stranica koristi merače snage lozinki

Samo 23 od 120 najpopularnijih veb stranica koriste merače snage. Poređenja radi, 54 veb lokacije i dalje se oslanjaju na pravila sastavljanja lozinki koje imaju loše ocene sigurnosti i upotrebljivosti, kao što je prisiljavanje korisnika da kreiraju složene lozinke s specifičnom mešavinom velikih i malih slova, brojeva i simbola. U međuvremenu, korisnici se mogu zaštititi tako što neće ponovno koristiti lozinke za svoje naloge na mreži.

„Definitivno smo očekivali da će više veb stranica slediti najbolje prakse“, kaže član tima Kevin Li, takođe sa Prinston univerziteta. Tim će rezultate predstaviti na simpozijumu o korisnoj privatnosti i sigurnosti u avgustu.

Istraživači i dalje nisu sigurni zašto toliko popularnih veb stranica još uvek ima lošu politiku lozinki. „Jedna mogućnost je da bi organizacije radije trošile novac na druge sigurnosne mere jer može biti teško izmeriti učinak poboljšanja politika lozinki“, kaže Sten Sjeberg, Microsoftov šef sigurnosnog programa koji je pridoneo istraživanju dok je studirao na Prinston univerzitetu.

„Sigurnosno područje takođe može imati „malo problema sa začepljenjem“, kaže Mišel Mazurek sa Univerziteta Merilend, koja nije bila uključena u istraživanje. „Nije lako vratiti zaštitu poput zahtevanja čestih promena lozinki, čak i kada je naučno dokazano da nije od koristi, jer niko ne želi da bude okrivljen ako nešto kasnije pođe po zlu“.

Pratite nas na našoj Facebook i Instagram stranici, Twitter nalogu i uključite se u našu Viber zajednicu.

-1; i– ) { p[i].parentNode.removeChild(p[i]); } ]]> p:nth-of-type(2)“).after(articleRelated); ]]>
Source

Leave a Comment