Российские ИБ-специалисты протестировали правила создания пользовательских паролей среди 157 отечественных и зарубежных веб-ресурсов. Эксперты выяснили, что наиболее серьезные требования предъявляют почтовые сервисы и криптовалютные платформы, а развлекательные сайты и новостные порталы уделяют мало внимания защите аккаунтов своих посетителей.

Аналитики разработали оригинальную систему оценки и учитывали ограничения на минимальную длину пароля, возможность использования специальных символов, допустимость применения словарных ключей и другие параметры. Дополнительные очки веб-ресурс мог получить за наличие двухфакторной аутентификации через SMS или сообщение в приложении.

Абсолютным победителем среди всех протестированных площадок стала служба Outlook, набравшая 10 баллов из 11,5 максимальных. Совсем немного отстал портал Gmail, которые заработал 9 баллов, потеряв два очка из-за возможности включать в комбинацию имя аккаунта. Неплохо показали себя почтовые ящики mail.ru и «Яндекс», а парольная политика сервиса Рамблер признана посредственной — эксперты начислили ей только 1,5 балла.

Среди игровых сервисов лидирует сайт PlayStation Network, получивший 9,5 очков. Исследователи отметили, что разработчики игрового сервиса запретили создавать пароль с повторяющимися символами, а также сочетаниями букв, расположенных на клавиатуре рядом. Правила создания секретных ключей онлайн-игры Minecraft и портала Wargaming.net не удовлетворили ИБ-специалистов и получили лишь 2 балла.

Среди социальных сетей первую строчку рейтинга занял Facebook с 8 баллами. По мнению специалистов, неплохо заботятся о безопасности своих пользователей «Одноклассники» и Tinder, набравшие 7 и 5,5 очков соответственно. Рейтинг политики в отношении паролей отечественного сервиса «ВКонтакте» составил всего 2 балла, что ниже среднего уровня. Эксперты отметили, что пользователи сайта могут установить секретный ключ, совпадающий с логином или электронной почтой, а его минимальная длина ограничена лишь 6–8 символами.

По результатам анализа выяснилось, что большинство интернет-магазинов предъявляют слабые требования к безопасности пользовательских паролей. Лидер сегмента, американский онлайн-ритейлер Newegg, набрал всего 5,5 баллов, в то время как Amazon, IKEA и Leroy Merlin — всего 1. Еще хуже обстоят дела у Aliexpress и Ozon, которые допускают использование слабых паролей, входящих в криминальные словари для брутфорс-атак. Эксперты присвоили этим сервисам нулевой рейтинг.

Как показали результаты исследования, одной из самых больших проблем, связанных с безопасностью паролей, является использование словарных последовательностей. Такие ключи легко вычисляются злоумышленниками методом перебора и могут служить причиной утечек персональных данных. В прошлом году ИБ-специалисты проанализировали наиболее популярные пароли и опубликовали антирейтинг, в который вошли названия марок автомобилей, музыкальных групп и такие сочетания, как 1q2w3e4r или iloveyou.

Категории: Аналитика, Кибероборона