Експертите за онлајн безбедност велат дека дефинитивно очекувале повеќе веб-страници да ги имплементираат најдобрите практики.
Три четвртини од најпопуларните веб-страници на англиски јазик во светот сè уште им дозволуваат на луѓето да ги изберат најчестите лозинки, како што се „abc123456“ или „[email protected]$$w0rd“.
Повеќе од половина од 120-те највисоко рангирани веб-локации ги дозволуваат и сите 40 најчести протечени и лесни за погодување лозинки. Сајтовите вклучуваат популарни шопинг портали како Amazon и Walmart, социјалната мрежа TikTok, страницата за видео стриминг Netflix и компанијата Intuit, како и производителот на софтверот за даночни пријави TurboTax, кој го користат милиони луѓе во САД.
Амазон изјави за New Scientist дека им препорачува на корисниците да постават верификација во два чекора и дека компанијата може да „потреби дополнителни предизвици за автентикација за време на најавувањето“ доколку открие безбедносен ризик. Главниот архитект на Intuit, Алекс Балаз, рече дека ќе ги истражи наодите и ја истакна употребата на Intuit за повеќефакторска автентикација и откривање измами. Другите компании споменати погоре не одговорија на барањето на New Scientist за коментар.
„Ова сугерира дека компаниите едноставно не се грижат за безбедноста на корисниците, но мислам дека тоа не е точно… дозволувањето хакирање на сметките воопшто не е во нивен интерес“, вели Арвинд Нарајанан од Универзитетот Принстон.
За да ги анализираат веб-локациите на англиски јазик рангирани како популарни според различни интернет-услуги, Нарајанан и неговите колеги рачно проверувале 40 лозинки на секоја страница. Користејќи ги барањата за лозинка на секоја страница, тие избраа 20 од случаен примерок од 100.000 најчесто користени лозинки пронајдени во пробивањето на податоците, заедно со првите 20 лозинки погодени од пробивачот на лозинки.
Само 15 веб-страници го поминаа безбедносниот тест
Само 15 веб-страни ги блокираа сите 40 тестирани лозинки. Тие вклучуваат Google, Adobe, Twitch, GitHub и Grammarly.
Во 2017 година, Националниот институт за стандарди и технологија на САД објави серија препораки за веб-сајтови што треба да се следат, како што се вклучување мерачи на јачина кои ги поттикнуваат корисниците да креираат посилни лозинки, одржување блок листа на протечени и лесни за погодување лозинки и дозволување само лозинки долги најмалку осум знаци.
Само една од шест страници користи мерачи на јачина на лозинката
Само 23 од 120 најпопуларни веб-страници користат мерачи на моќност. За споредба, 54 веб-сајтови сè уште се потпираат на правилата за креирање лозинки кои имаат лоши оценки за безбедност и употребливост, како што е принудувањето на корисниците да креираат сложени лозинки со специфичен микс на големи и мали букви, бројки и симболи. Во меѓувреме, корисниците можат да се заштитат себеси со тоа што не ги користат повторно лозинките за нивните онлајн сметки.
„Дефинитивно очекувавме повеќе веб-страници да ги следат најдобрите практики“, вели членот на тимот Кевин Ли, исто така од Универзитетот Принстон. Тимот ќе ги претстави резултатите на симпозиумот за корисна приватност и безбедност во август.
Истражувачите сè уште не се сигурни зошто толку многу популарни веб-локации сè уште имаат лоши политики за лозинка. „Една можност е дека организациите повеќе би сакале да трошат пари на други безбедносни мерки бидејќи може да биде тешко да се измери влијанието на подобрувањето на политиките за лозинка“, вели Стен Сјеберг, шеф на безбедносните програми на Мајкрософт кој придонесе за истражувањето додека студирал на Универзитетот Принстон.
Безбедносната област, исто така, може да има „мал проблем со затнувањето“, вели Мишел Мазурек од Универзитетот во Мериленд, која не била вклучена во истражувањето. „Не е лесно да се врати заштитата како што е барањето чести промени на лозинката, дури и кога научно е докажано дека е неефективно, бидејќи никој не сака да биде обвинет ако нешто тргне наопаку подоцна“.