Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Testirovanie parolnyh politik

109 views

Published on

security

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Testirovanie parolnyh politik

  1. 1. 1
  2. 2. 2 Содержание Введение 3 Парольные политики на сервисах 4 Цель исследования 5 Методология исследования 6 Требования сервисов к паролям 8 Тестовые словарные пароли 9 Достижения 10 Двухфакторная аутентификация 11 Тестирование парольных политик веб-сервисов 12 Почтовые сервисы 12 Социальные сети 15 Электронная коммерция 18 Платежные сервисы 21 Игровые сервисы 23 Криптовалюта 26 Хранение данных 29 Совместная разработка 32 Хостинг 35 Парольные менеджеры 38 Новостные сервисы 41 Развлекательные ресурсы 43 Блоги и форумы 46 Интернет-банкинг 49 Выводы 50 Общие итоги 52 Популярные заблуждения пользователей 53 Советы пользователю 54 Cоветы разработчику сервиса 55
  3. 3. Введение Современный интернет-пользователь имеет аккаунт в хотя бы одном из многочисленных онлайн-сервисов: социальной сети, почте, облачном хранилище, интернет-магазине, онлайн-игре и так далее. Так, в самой популярной соцсети Facebook общее число зарегистрированных поль- зователей достигло 2,17 миллиарда. Неудивительно, что, имея большую аудиторию, компании стараются надежно защитить свои серверы и сер- висы, а также максимально обезопасить данные пользователей. Впрочем, если пользователи не заботятся о защите своих аккаунтов и не соблюдают даже минимальные меры по обеспечению безопасности, все усилия изнутри могут оказаться напрасны. Сложность криптографиче- ских алгоритмов не играет абсолютно никакой роли, если злоумышлен- ник может легко получить ключ. Используя широкий арсенал утилит, киберпреступники способны за ко- роткое время проверить тысячи паролей и получить доступ к данным жертвы. Зачастую пользователи используют в качестве пароля простые комбинации: 12345678 или qwe123, – что сильно упрощает задачу злоу- мышленника. Самым верным решением проблемы обеспечения безо- пасности своих данных до сих пор остается использование сложных па- ролей (один сервис — один надежный пароль). Захватив контроль над аккаунтом, атакующий может задейство- вать его для рассылки спама, вирусов, а также проведения атак на других пользователей. Например, попросить всех друзей по социальной сети перевести деньги на номер телефона под тем или иным предлогом. Не стоит забывать и о том, что компрометация одного аккаун- та может привести ко взлому других аккаунтов пользователя, потенциально содержащих более критичные данные (многие применяют один пароль для нескольких сервисов сразу). По- мимо этого, через почтовый ящик возможен доступ к ресур- сам, которые привязаны к нему с помощью функциональности восстановления пароля. Цепочка аккаунтов может рухнуть, как последовательность костей домино, если, допустим, будет восстановлен пароль к аккаунту соцсети, а через него успешно выполнена авторизация на тех сайтах, которые используют для аутентификации страницу пользователя в Facebook, ВКонтакте, LinkedIn и проч. 3
  4. 4. 4 Парольные политики на сервисах Чтобы пользователи не смогли ограничиться простей- шими паролями в процессе регистрации аккаунта и, следовательно, подставить себя под удар, существу- ют парольные политики. Они определяют требования к длине паролей, типам допустимых и обязательных для использования символов, требуемой степени сложности и т. д. Мы решили провести исследование и выяснить, ка- кие парольные политики используются на различных веб-сервисах. Для этого рассмотрим возможный век- тор атак на пользовательские аккаунты. Злоумышленник собрал базу данных пользователей какого-то сервиса и пытается подобрать пароли к ним в режиме «онлайн». В принципе, он может задей- ствовать большой словарь на десятки гигабайт и для каждого аккаунта попробовать найти нужную комби- нацию символов. Если на одну попытку будет тратиться одна се- кунда, результата можно и не дождаться. А после трех попыток авторизации сервис попросит вве- сти captcha, и осуществить автоматизированный перебор станет невозможно.
  5. 5. 5 Цель исследования Мы решили обновить и расширить наше исследование четырехлетней давности, чтобы узнать, как на сегод- няшний день сервисы подталкивают пользователей к выбору сильного пароля. Нами были протестированы только самые популяр- ные пароли, обладатели которых могут стать первыми жертвами злоумышленников. Чтобы не допустить их использования, при регистра- ции многие сайты дают рекомендации по выбору оп- тимальной комбинации символов. Давайте проверим, насколько подобные советы спо- собны защитить пользователей. Мы попытались ответить на следующие вопросы для каждого из исследованных сервисов: Предлагает ли сервис какой-либо перечень рекомендации к паролю, к которому пользователь имел бы легкий и свободный доступ (свод правил на странице регистрации и т. п.)? Какими правилами должен руководствоваться пользователь при выборе комбинации символов? Например, нигде не содержится в явном виде каких-либо рекомендаций, но, если пароль не подходит по тем или иным параметрам, сервис сообщит об этом. Возможно ли зарегистрироваться на сервисе, используя слабые пароли? Присутствуют ли какие-либо механизмы защиты от несанкционированной авторизации. Например, двухфакторная аутентификация? Какие ограничения используют сервисы во время регистрации или восстановления пароля? 1 2 3 4 5
  6. 6. 6 Методология исследования Для успешного проведения анализа* нами был определен набор правил, представленных в Таблице 1, – компиляция рекомендаций множества сервисов, популярных и не очень. Далее была произведена оценка предлагаемых ресурсами требований с помощью баллов. За каждый недочет, который может в итоге привести к «ослаблению» пароля, вычитался 1 балл. И, напротив, сервисы с оптимальными рекомендациями зарабатывали заслуженные баллы. Чем больше баллов, тем лучше парольная политика сервиса. Конечно, хуже всего, если правил создания паролей нет вовсе, и малое количество баллов тут не требует пояснений. Однако подход, при котором сервис требует создавать комбинацию не длиннее 20 символов или запрещает использовать специальные символы (@?*), также «ослабляет» пароли. Поэтому и в данном случае вычитание баллов вполне оправдано. *Данные, представленные в этом исследовании, актуальны на 01.12.2018 Также мы сформировали небольшой список паролей (см. Таблица 2), которые в той или иной степени удовлетворяют этим правилам, но при этом являются словарными и часто используемыми. Если сервис позволял зарегистрироваться с предложенными комбинациями, он терял баллы. Хотя подобное исследование проводилось и раньше, в этот раз мы решили расширить группы исследуемых сервисов. В данном исследовании парольные политики проверялись не только при регистрации на сервисах, но также при смене и восстановлении пароля. Если вы забыли свой пароль, а сервис услужливо отправляет его вам на почту – это очень плохо: ваш почтовый ящик не самое надежное место для их хранения.
  7. 7. 7 Данная методика не является стандартизированной и не может претендовать на полноту, однако ее основная цель – дать представление о состоянии парольных политик веб-сервисов. Выбранные для исследования ресурсы были сгруппированы по их назначению: Совместная разработка Хостинг Парольные менеджеры Новостные сервисы Развлекательные ресурсы Блоги и форумы Почтовые сервисы Социальные сети Электронная коммерция Платежные сервисы Игровые сервисы Криптовалюта Хранение данных Интернет-банкинг
  8. 8. 8 Таблица 1. Парольные политики № Правило Балл 1 Минимальная длина пароля менее 6 символов - 1 2 Минимальная длина пароля – 6-8 символов - 0,5 3 Минимальная длина более 8 символов + 1 4 Максимальная длина менее 20 символов -0,5 5 Максимальная длина более 20 символов +1 6 Пароль должен содержать цифры +0,5 7 Пароль должен содержать буквы +0,5 8 Пароль должен содержать заглавные буквы +0,5 9 Пароль должен содержать специальные символы +0,5 10 Пароль не должен совпадать с логином +1 11 Пароль не должен совпадать с почтой +1 12 Пароль не может быть похожим на логин и/или почту (логин + год, заглавная буква в почте и т. п.) +2 13 Пароль не должен быть словарным +2 14 Сервис дает рекомендации явно +1 15 Запрет использования специальных символов -1 16 Сервис строго придерживается своих рекомендаций +0,5 17 Сервис позволяет установить слабый пароль -1 Итак, мы имеем следующий набор оптимальных жестких требований к пользовательскому паролю: • пароль должен быть длиннее 8 символов • пароль должен содержать цифры, заглавные и строчные буквы, спецсимволы • пароль не должен быть похожим на логин. Помимо этого, сервисы должны давать общие реко- мендации по сложности пароля пользователям и не позволять регистрироваться ни с одной из тестируемых комбинаций символов. Естественно, самый низкий рейтинг получили те служ- бы, которые допускают использование паролей даже длиной в 1 символ и самых простых паролей, а также не выдвигают вообще никаких требований и ограничивают максимальную длину пароля. Градация качества парольной политики: Требования сервисов к паролям 11,5-4 -1 2 5 8
  9. 9. Тестовые словарные пароли Таблица 2. Пароли, используемые для тестирования Пароль Описание Словарь, где можно найти 123456 Минимальная длина пароля менее 6 символов Топ-100 qwe123 Минимальная длина пароля – 6-8 символов Топ-10000 123456789 Минимальная длина более 8 символов Топ-100 qwerty123 Максимальная длина менее 20 символов Топ-1000 Qwerty123 Максимальная длина более 20 символов RockYou 1q2w3e4r Пароль должен содержать цифры Топ-100 P@ssword Пароль должен содержать буквы RockYou 123QWEasd Пароль должен содержать заглавные буквы RockYou P@ssword123 Пароль должен содержать специальные символы RockYou Атака по словарю значительно ускоряет взлом па- роля и повышает шансы успешности атаки методом перебора. Для тестирования возможности установки простых паролей были выбраны пароли из несколь- ких известных словарей: • Топ-100 самых плохих паролей • Топ-10000 самых плохих паролей • Словарь RockYou — один из самых популярных словарей для атаки методом перебора. Он вклю- чает в себя пароли, украденные со взломанного сайта компании RockYou — разработчика приложе- ний для соцсетей. 9
  10. 10. 10 Достижения Таблица 3. Достижения Название Пиктограмма Описание No rules! Никаких рекомендаций от сервиса Двойные стандарты Разные политики при регистрации и смене пароля Full House Удалось использовать все словарные пароли Все очень плохо Сервис набрал менее 4 баллов Будем откровенны На почту приходит пароль в открытом виде Для наглядности мы ввели ряд «достижений» за недостатки па- рольной политики, демонстриру- ющих, насколько сильна пароль- ная безопасность исследованных сервисов
  11. 11. 11 Наличие двухфакторной аутентификации (2FA/Two Factor Authentication) у сер- виса приносит дополнительные 0,5 балла. В ходе тестирования было проанализировано 157 сервисов. Из них больше половины (90) имеет возможность включения двухфакторной аутентификации. Крайне редко она была активирована по умолчанию (в основном, в сервисах Интернет-банкинга). Для некоторых сервисов и вовсе приходилось специально искать в Интернете инструкции по включению 2FA. Так, например, есть замечательный ресурс, на котором представлено огромное количество популярных сервисов и показано, возможно ли включить на них двухфакторную аутентификацию. Существует несколько вариантов исполнения двухфакторной аутентификации. Самый распространенный — одноразовый пароль, который либо генерируется с помощью специального приложения (например, Google Authenticator), либо приходит по SMS. Реестр одноразовых паролей может быть создан заранее и храниться у поль- зователя офлайн. Также распространен метод, использующий аппаратный ключ безопасности (например, YubiKey), который внешне может быть неотли- чим от обычной флешки. Наличие такой опции, как 2FA, возможность ее активации и правильное ис- пользование являются мощным механизмом обеспечения дополнительной безопасности. Двухфакторная аутентификация
  12. 12. 12 Почтовые сервисы Требования к паролю Gmail Outlook Яндекс Mail.ru Рамблер Yahoo! Минимальная длина пароля менее 6 символов Минимальная длина пароля – 6-8 символов -0,5 -0,5 -0,5 -0,5 Минимальная длина более 8 символов +1 +1 Максимальная длина менее 20 символов Максимальная длина более 20 символов +1 +1 +1 +1 +1 +1 Пароль должен содержать цифры +0,5 +0,25* +0,5 +0,5 +0,5 Пароль должен содержать буквы +0,5 +0,25* +0,5 +0,5 +0,5 Пароль должен содержать заглавные буквы +0,25* +0,5 +0,5 Пароль должен содержать специальные символы +0,5 +0,25* Пароль не должен совпадать с логином +1 +1 +1 +1 +1 Пароль не должен совпадать с почтой +1 +1 +1 +1 +1 Пароль не может быть похожим на логин и/или почту (логин + год, заглавная буква в почте и т. п.) +2 +2 +2 Пароль не должен быть словарным +2 +2 +2 +2 +2 Сервис дает рекомендации явно +1 +1 +1 +1 +1 +1 Запрет использования специальных символов -1 -1 -1 -1 Сервис строго придерживается своих рекомендаций +0,5 +0,5 +0,5 +0,5 +0,5 Сервис позволяет установить слабый пароль -1 -1 -1 2FA +0,5 +0,5 +0,5 +0,5 +0,5 sms, app, codes, e-key sms, app sms, app sms, app sms Достижения Тестирование парольных политик веб-сервисов *любые 2 условия из 4-х Достижения: никаких рекомендаций от сервиса разные политики при регистрации и смене удалось использовать все словарные пароли сервис набрал менее 4 баллов на почту приходит пароль в открытом виде
  13. 13. 13 Почтовые сервисы Требования к паролю AOL Zoho ProtonMail Mailbox.org Pobox FastMail Минимальная длина пароля менее 6 символов -1 Минимальная длина пароля – 6-8 символов -0,5 -0,5 -0,5 -0,5 -0,5 Минимальная длина более 8 символов Максимальная длина менее 20 символов Максимальная длина более 20 символов +1 +1 +1 +1 +1 +1 Пароль должен содержать цифры +0,5 +0,5 Пароль должен содержать буквы +0,5 +0,5 Пароль должен содержать заглавные буквы +0,5 +0,5 Пароль должен содержать специальные символы +0,5 Пароль не должен совпадать с логином +1 +1 +1 Пароль не должен совпадать с почтой +1 +1 Пароль не может быть похожим на логин и/или почту (логин + год, заглавная буква в почте и т. п.) +2 +2 Пароль не должен быть словарным +2 +2 +2 +2 Сервис дает рекомендации явно +1 +1 +1 +1 Запрет использования специальных символов -1 -1 Сервис строго придерживается своих рекомендаций +0,5 +0,5 +0,5 +0,5 Сервис позволяет установить слабый пароль -1 -1 -1 2FA +0,5 +0,5 +0,5 +0,5 +0,5 sms sms, app app app sms Достижения Достижения: никаких рекомендаций от сервиса разные политики при регистрации и смене удалось использовать все словарные пароли сервис набрал менее 4 баллов на почту приходит пароль в открытом виде
  14. 14. 14 Почтовые сервисы оказались самым популярным среди пользователей типом исследованных ресурсов. Помимо обычной переписки, они повсеместно используются для регистрации в других службах и приложениях. Проникнув в почтовый аккаунт, можно с помощью функции восстановле- ния пароля получить доступ к другим сервисам, в которых зарегистрирован пользователь. Почти все представленные сервисы определяют широкий набор правил и требований к паролю (при этом не только к длине пароля, но и к его схожести с логином и разнообразию использован- ных символов). Как и в прошлом исследовании, у половины крупнейших почтовых сервисов дела с защитой от простых паролей обстоят неплохо. Большинство из них предъявляют свои рекомендации в явной для пользователя форме и строго их придерживаются. Общий результат для почтовых сервисов можно охарактеризовать как «средний». Как и 5 лет назад, в аутсайдерах оказался ресурс Pobox. К нему добавился почтовый сервис ProtonMail, который не использует никакие парольные политики, и перекладывает всю ответственность за сложность пароля на плечи пользователя. Итого: 9 8 7 6 5 4 3 2 1 0 -1 10 10 9 7,5 6,5 6 4,5 1,5 -0,5
  15. 15. 15 Социальные сети Требования к паролю Facebook Twitter Linked.In Вконтакте Pinterest Instagram Stack Exchange Минимальная длина пароля менее 6 символов Минимальная длина пароля – 6-8 символов -0,5 -0,5 -0,5 -0,5 -0,5 -0,5 -0,5 Минимальная длина более 8 символов Максимальная длина менее 20 символов Максимальная длина более 20 символов +1 +1 +1 +1 +1 +1 +1 Пароль должен содержать цифры +0,5 +0,5 Пароль должен содержать буквы +0,5 +0,5 +0,5 +0,5 Пароль должен содержать заглавные буквы +0,25* Пароль должен содержать специальные символы +0,5 +0,25* Пароль не должен совпадать с логином +1 +1 +1 Пароль не должен совпадать с почтой +1 +1 Пароль не может быть похожим на логин и/или почту (логин + год, заглавная буква в почте и т. п.) Пароль не должен быть словарным +2 +2 +2 +2 Сервис дает рекомендации явно +1 +1 +1 +1 Запрет использования специальных символов -1 Сервис строго придерживается своих рекомендаций +0,5 +0,5 +0,5 +0,5 +0,5 +0,5 +0,5 Сервис позволяет установить слабый пароль -1 -1 2FA +0,5 +0,5 +0,5 +0,5 +0,5 +0,5 sms, app, sms sms sms sms sms Достижения Достижения: никаких рекомендаций от сервиса разные политики при регистрации и смене удалось использовать все словарные пароли сервис набрал менее 4 баллов на почту приходит пароль в открытом виде *любые 2 условия из 4-х
  16. 16. 16 Социальные сети Требования к паролю Tagged Одноклассники ask.fm MySpace Meetup Tinder Meet me Минимальная длина пароля менее 6 символов Минимальная длина пароля – 6-8 символов -1 Минимальная длина более 8 символов -0,5 -0,5 -0,5 -0,5 -0,5 -0,5 Максимальная длина менее 20 символов Максимальная длина более 20 символов -0,5 Пароль должен содержать цифры +1 +1 +1 +1 +1 +1 Пароль должен содержать буквы +0,5 +0,5 Пароль должен содержать заглавные буквы +0,5 +0,5 +0,5 Пароль должен содержать специальные символы Пароль не должен совпадать с логином Пароль не должен совпадать с почтой +1 Пароль не может быть похожим на логин и/или почту (логин + год, заглавная буква в почте и т. п.) +1 Пароль не должен быть словарным +2 Сервис дает рекомендации явно +2 +2 Запрет использования специальных символов +1 +1 +1 Сервис строго придерживается своих рекомендаций -1 Сервис позволяет установить слабый пароль +0,5 +0,5 +0,5 +0,5 +0,5 +0,5 2FA +0,5 +0,5 sms sms Достижения Достижения: никаких рекомендаций от сервиса разные политики при регистрации и смене удалось использовать все словарные пароли сервис набрал менее 4 баллов на почту приходит пароль в открытом виде
  17. 17. Популярность социальных сетей растет из года в год. Бесспорным лидером среди них стал Facebook с более чем 2,7 миллиарда активных пользователей. На этих площадках «кипит жизнь». Помимо рядовых пользователей, свои аккаунты ведут крупные и не очень компании, общаются с народом политические деятели, организуются социальные проекты. Иногда, про- никнув в аккаунт в социальной сети, злоумышленник может завладеть критичными данными пользователя и доступом ко всему его кругу общения. Нередки и случаи, когда частная пере- писка и личные фотографии становятся достоянием общественности. Большинство исследуемых сервисов предъявляет минимум требований к паролю. В основном, ограничения накладываются лишь на минимальную длину. По сравнению с прошлым исследованием на этот раз пароли «подросли», минимум 6-8 симво- лов. Однако до сих пор отсутствует проверка словарных паролей. Сервис MeetMe продолжает оставаться на последних позициях, равно как и Tagged. В большинстве случаев все или подавляющее количество тестируемых паролей подошли, од- нако соцсетям по-прежнему все равно, какой пароль вы будете использовать. Итого: 9 8 7 6 5 4 3 2 1 0 -1 -2 7,5 3,5 3 8 7 2 1 -2 2,5 5,5 1,5 -0,5 17
  18. 18. 18 Электронная коммерция Требования к паролю Amazon Ebay AliExpress Walmart Ozon Юлмарт Ситилинк Etsy Минимальная длина пароля менее 6 символов Минимальная длина пароля – 6-8 символов -0,5 -0,5 -0,5 -0,5 -0,5 -0,5 -0,5 -0,5 Минимальная длина более 8 символов Максимальная длина менее 20 символов -0,5 Максимальная длина более 20 символов +1 +1 +1 +1 +1 +1 +1 Пароль должен содержать цифры +0,5 +0,5 Пароль должен содержать буквы +0,5 +0,5 Пароль должен содержать заглавные буквы Пароль должен содержать специальные символы Пароль не должен совпадать с логином Пароль не должен совпадать с почтой +1 +1 Пароль не может быть похожим на логин и/или почту (логин + год, заглавная буква в почте и т. п.) Пароль не должен быть словарным +2 +2 Сервис дает рекомендации явно +1 +1 +1 +1 +1 +1 Запрет использования специальных символов -1 -1 -1 -1 Сервис строго придерживается своих рекомендаций +0,5 +0,5 +0,5 +0,5 +0,5 +0,5 +0,5 Сервис позволяет установить слабый пароль -1 -1 -1 -1 -1 -1 2FA +0.5 +0.5 +0.5 sms sms sms, app Достижения Достижения: никаких рекомендаций от сервиса разные политики при регистрации и смене удалось использовать все словарные пароли сервис набрал менее 4 баллов на почту приходит пароль в открытом виде
  19. 19. 19 Электронная коммерция Требования к паролю Newegg Онлайн трейд. ру Леруа Мерлен Максидом ОБИ IKEA re:Store КЕЙ DNS Минимальная длина пароля менее 6 символов Минимальная длина пароля – 6-8 символов -0,5 -1 Минимальная длина более 8 символов -0,5 -0,5 -0,5 -0,5 -0,5 -0,5 -0,5 Максимальная длина менее 20 символов Максимальная длина более 20 символов +1 -0,5 Пароль должен содержать цифры +0,5 +1 +1 +1 +1 +1 +1 +1 Пароль должен содержать буквы +0,5 +0,5 Пароль должен содержать заглавные буквы +0,25* +0,5 +0,5 +0,5 Пароль должен содержать специальные символы +0,25* Пароль не должен совпадать с логином Пароль не должен совпадать с почтой +1 +1 Пароль не может быть похожим на логин и/или почту (логин + год, заглавная буква в почте и т. п.) +1 +1 +1 Пароль не должен быть словарным +2 Сервис дает рекомендации явно +1 +2 Запрет использования специальных символов +1 +1 +1 +1 +1 Сервис строго придерживается своих рекомендаций +0,5 -1 -1 Сервис позволяет установить слабый пароль +0,5 +0,5 +0,5 +0,5 +0,5 +0,5 2FA +0.5 -1 -1 -1 -1 -1 -1 -1 sms, app, sms sms sms sms sms Достижения *любые 2 условия из 4-х Достижения: никаких рекомендаций от сервиса разные политики при регистрации и смене удалось использовать все словарные пароли сервис набрал менее 4 баллов на почту приходит пароль в открытом виде
  20. 20. 20 Итого: Онлайн-магазины предлагают пользователям удобство и оперативность в оформлении и выполне- нии заказов. Именно поэтому пользователи так охотно оставляют в них свои данные, информацию о месте жительства и всю свою контактную информацию. Неплохо было бы, если бы эти сервисы запрещали устанавливать пароли, типа 123456. Посмотрим, как обстоят дела в этом году. Сервисы электронной коммерции, как и соцсети, не любят предъявлять какие-либо конкретные правила и требования к сложности пароля. Подобную «индифферентность» в отношении надеж- ности паролей можно объяснить желанием привлечь и удержать как можно больше покупателей. Если пользователь тратит на оформление покупки или регистрацию на одном сервисе две мину- ты, а на другом тридцать секунд (при условии, что ассортимент и цены приблизительно равны), он наверняка пойдет совершать покупки на второй сервис. Статистика остается прежней (хоть выборка и невелика): лишь 10% онлайн-магазинов используют хоть какую-то парольную политику. И это при том, что все вполне представляют себе, какие пер- спективы перед злоумышленником открывает взлом аккаунта пользователя сервиса электронной коммерции. С его помощью можно получить данные о заказах, истории платежей, персональную информацию. В конце концов, можно присвоить чужие бонусы или заказать пользователю боль- шое количество товаров на дом. Интересный факт 1: При попытке восстановить пароль Максидом дает не ссылку для создания нового пароля, а акту- альный в открытом виде. Интересный факт 2: Невзирая на собственную рекомендацию использовать пароль длиннее 10 символов, IKEA позво- ляет зарегистрироваться с паролем, число символов в котором меньше рекомендованного, что в свою очередь вызывает ошибки при попытке сменить пароль. 6 5 4 3 2 1 0 -1 5,5 2,5 2 5 1,5 1 0 -0,5
  21. 21. 21 Платежные сервисы Требования к паролю QIWI PayPal Web Money Payeer Skrill Neteller Dwolla Stripe Venmo Минимальная длина пароля менее 6 символов -1 Минимальная длина пароля – 6-8 символов -0,5 -0,5 -0,5 -0,5 -0,5 -0,5 -0,5 -0,5 Минимальная длина более 8 символов Максимальная длина менее 20 символов Максимальная длина более 20 символов +1 +1 +1 +1 +1 +1 +1 +1 +1 Пароль должен содержать цифры +0,5 +0,5 +0,5 +0,25* +0,5 Пароль должен содержать буквы +0,5 +0,5 +0,5 +0,5 +0,5 Пароль должен содержать заглавные буквы +0,5 +0,5 Пароль должен содержать специальные символы +0,25* Пароль не должен совпадать с логином Пароль не должен совпадать с почтой +1 Пароль не может быть похожим на логин и/или почту (логин + год, заглавная буква в почте и т. п.) Пароль не должен быть словарным +2 +2 +2 +2 +2 +2 +2 Сервис дает рекомендации явно +1 +1 +1 +1 +1 +1 +1 +1 +1 Запрет использования специальных символов -1 Сервис строго придерживается своих рекомендаций +0,5 +0,5 +0,5 +0,5 +0,5 +0,5 +0,5 +0,5 +0,5 Сервис позволяет установить слабый пароль -1 -1 2FA +0,5 +0,5 +0.5 +0.5 +0.5 +0,5 +0.5 sms, app, sms sms sms sms sms Достижения *любые условия из 2-х Достижения: никаких рекомендаций от сервиса разные политики при регистрации и смене удалось использовать все словарные пароли сервис набрал менее 4 баллов на почту приходит пароль в открытом виде
  22. 22. 22 Поскольку данный тип сервисов хранит платежную информацию и позволяет проводить финансо- вые операции, безопасность пользовательских данных должна быть на высшем уровне. Большей части таких ресурсов требуется обязательная сертификация по стандарту PCI DSS, а это значит, что проводилось тестирование на проникновение. Следовательно, подразумевается, что от известных атак и уязвимостей они защищены. Посмотрим, насколько они готовы обезопасить пользователей от последствий использования простого пароля. Почти каждый сервис дает большое количество рекомендаций по выбору пароля. Самые простые пароли они, конечно, блокируют, но все равно подобный уровень безопасности недопустим в кон- тексте такого рода сервисов. С учетом того, что многие действия требуют подтверждения операции по SMS (2FA), все выглядит хорошо. Однако для авторизации в аккаунте, как обычно, двухфакторную аутентификацию нужно специально устанавливать. Примечателен тот факт, что WebMoney за последние годы с лидирующей позиции сместился в самый низ списка и набрал баллов даже меньше, чем Venmo. Итого: 6 5 4 3 2 1 0 -1 5,5 4,5 5 1 6 4 0,5
  23. 23. 23 Достижения: никаких рекомендаций от сервиса разные политики при регистрации и смене пароля удалось использовать все словарные пароли сервис набрал менее 4 баллов на почту приходит пароль в открытом виде Игровые сервисы Требования к паролю Steam Origin (EA) League of Legends EVE Online PlayStation Network Blizzard (Battle.net) Минимальная длина пароля менее 6 символов -1 Минимальная длина пароля – 6-8 символов Минимальная длина более 8 символов -0,5 -0,5 -0,5 -0,5 -0,5 -0,5 Максимальная длина менее 20 символов Максимальная длина более 20 символов -0,5 -0,5 Пароль должен содержать цифры +1 +1 +1 +1 Пароль должен содержать буквы +0,5 +0,5 +0,5 +0,5 +0,5 Пароль должен содержать заглавные буквы +0,5 +0,5 +0,5 +0,25* +0,5 Пароль должен содержать специальные символы +0,5 +0,5 Пароль не должен совпадать с логином +0,25* Пароль не должен совпадать с почтой +1 +1 +1 +1 Пароль не может быть похожим на логин и/или почту (логин + год, заглавная буква в почте и т. п.) +1 Пароль не должен быть словарным +2 +2 Сервис дает рекомендации явно +2 +2 +2 +2 +2 Запрет использования специальных символов +1 +1 +1 +1 +1 +1 Сервис строго придерживается своих рекомендаций -1 -1 -1 -1 Сервис позволяет установить слабый пароль +0,5 +0,5 +0,5 +0,5 +0,5 +0,5 2FA +0,5 +0,5 +0,5 +0,5 email, app email, app sms sms, app Достижения *любые условия из 2-х
  24. 24. 24 Достижения: никаких рекомендаций от сервиса разные политики при регистрации и смене пароля удалось использовать все словарные пароли сервис набрал менее 4 баллов на почту приходит пароль в открытом виде Игровые сервисы Требования к паролю G2A War Thunder Rail Nation Minecraft The Elder Scrolls Online Wargaming. net Минимальная длина пароля менее 6 символов -1 Минимальная длина пароля – 6-8 символов -0,5 -0,5 -0,5 -0,5 -0,5 Минимальная длина более 8 символов Максимальная длина менее 20 символов Максимальная длина более 20 символов +1 +1 +1 +1 +1 +1 Пароль должен содержать цифры +0,25* +0,25* +0,5 Пароль должен содержать буквы +0,5 +0,25* +0,5 Пароль должен содержать заглавные буквы +0,5 +0,25* Пароль должен содержать специальные символы +0,25* +0,25* Пароль не должен совпадать с логином +1 +1 Пароль не должен совпадать с почтой +1 +1 Пароль не может быть похожим на логин и/или почту (логин + год, заглавная буква в почте и т. п.) +2 Пароль не должен быть словарным +2 +2 Сервис дает рекомендации явно +1 +1 +1 +1 +1 Запрет использования специальных символов -1 -1 Сервис строго придерживается своих рекомендаций +0,5 +0,5 +0,5 +0,5 +0,5 Сервис позволяет установить слабый пароль -1 -1 -1 -1 2FA +0,5 +0,5 +0,5 sms app app Достижения *любые 2 условия из 4-х
  25. 25. Сегодня мало кто будет покупать игры на физических носителях, если только это не коллек- ционное издание. В 2018 году подавляющее число пользователей выбирают игровые он- лайн-сервисы и сервисы цифровой дистрибуции. В январе 2018 года количество одновремен- но находящихся онлайн пользователей Steam достигло 18 миллионов. А теперь посмотрим, как обстоят дела с парольными политиками в этой сфере. На этот раз большинство исследуемых сервисов придерживалось одних и тех же политик как при регистрации, так и при смене или восстановлении пароля. Кроме Wargaming.net, который снова позволял регистрироваться с более свободными правилами: единственное условие при регистрации — длина пароля должна быть больше 6 символов. При этом при смене пароля предъявлялось гораздо больше требований. Интересное условие появилось на странице PlayStation Network — запрет повторяющихся, а также расположенных друг за другом на клавиатуре символов. Но пару словарных паролей при этом все равно получилось установить. В общем случае, игровые сервисы стали лучше заботиться о парольных политиках. Правда, это не мешает тому, что аккаунты игроков постоянно появляются в базах утекших данных. Итого: 9 8 7 6 5 4 3 2 1 0 10 7 6 5 2 1 6,5 9,5 4,5 1,5 0,5 25
  26. 26. 26 Криптовалюта Требования к паролю Bitcoin.de Blockchain Coinbase Kraken BitBay BitGo Минимальная длина пароля менее 6 символов Минимальная длина пароля – 6-8 символов -0,5 -0,5 -0,5 -0,5 -0,5 -0,5 Минимальная длина более 8 символов Максимальная длина менее 20 символов Максимальная длина более 20 символов +1 +1 +1 +1 +1 +1 Пароль должен содержать цифры +0,5 +0,5 Пароль должен содержать буквы +0,5 +0,5 Пароль должен содержать заглавные буквы Пароль должен содержать специальные символы +0,5 +0,5 Пароль не должен совпадать с логином +1 +1 +1 Пароль не должен совпадать с почтой +1 +1 +1 Пароль не может быть похожим на логин и/или почту (логин + год, заглавная буква в почте и т. п.) Пароль не должен быть словарным +2 +2 +2 +2 Сервис дает рекомендации явно +1 +1 +1 +1 +1 +1 Запрет использования специальных символов Сервис строго придерживается своих рекомендаций +0,5 +0,5 +0,5 +0,5 +0,5 Сервис позволяет установить слабый пароль -1 -1 2FA +0,5 +0,5 +0,5 +0,5 +0,5 +0,5 app, codes sms, app sms, app app, e-key sms, app app Достижения Достижения: никаких рекомендаций от сервиса разные политики при регистрации и смене удалось использовать все словарные пароли сервис набрал менее 4 баллов на почту приходит пароль в открытом виде
  27. 27. 27 Криптовалюта Требования к паролю BitPay CEX.IO OKCoin Bitfinex Bittrex WEX Минимальная длина пароля менее 6 символов Минимальная длина пароля – 6-8 символов -0,5 -0,5 -0,5 -0,5 -0,5 Минимальная длина более 8 символов +1 Максимальная длина менее 20 символов Максимальная длина более 20 символов +1 +1 +1 +1 +1 +1 Пароль должен содержать цифры +0,5 +0,5 +0,5 +0,5 Пароль должен содержать буквы +0,5 +0,5 +0,5 +0,5 Пароль должен содержать заглавные буквы +0,5 +0,5 +0,5 +0,5 Пароль должен содержать специальные символы +0,5 Пароль не должен совпадать с логином Пароль не должен совпадать с почтой Пароль не может быть похожим на логин и/или почту (логин + год, заглавная буква в почте и т. п.) Пароль не должен быть словарным +2 +2 +2 +2 +2 Сервис дает рекомендации явно +1 +1 +1 +1 +1 Запрет использования специальных символов Сервис строго придерживается своих рекомендаций +0,5 +0,5 +0,5 +0,5 +0,5 Сервис позволяет установить слабый пароль -1 2FA +0,5 +0,5 +0,5 +0,5 +0,5 +0,5 app sms, app sms, app app, e-key app app Достижения Достижения: никаких рекомендаций от сервиса разные политики при регистрации и смене удалось использовать все словарные пароли сервис набрал менее 4 баллов на почту приходит пароль в открытом виде
  28. 28. 28 Криптовалюта — революционное изобретение XXI века, преимущества которого оценили уже не только особо увлеченные, но и обычные пользователи. Последние, впрочем, все чаще прибегают к услугам криптовалютных бирж – специальных веб-сервисов, которые хранят ключевые файлы кошельков у себя и позволяют производить операции с валютой через браузер. Но обеспечива- ют ли биржи такую защиту, какую предоставляет стандартный клиент? Различных проблем у них достаточно, но обратимся к их парольным политикам. Большинство сервисов четко придерживается собственных требований к сложности пароля. Все, кроме одного, явно предъявляли свои требования к паролю. Сервис BitGo при регистрации сразу предложил использовать Google Authenticator или аппаратный ключ безопасности Yubikey. Остальные сервисы также поддерживают двухфакторную аутентифи- кацию (большинство даже несколько способов). Отстающие ранее в плане безопасности сервисы CEX.IO и BitPay усилили свои политики и теперь заняли средние позиции. Итого: 9 8 7 6 5 4 3 2 1 0 7 8 6 1 6,5 4,5 3,5 0,5
  29. 29. 29 Хранение данных Требования к паролю MEGA iCloud DropBox Box Nextcloud Минимальная длина пароля менее 6 символов Минимальная длина пароля – 6-8 символов Минимальная длина более 8 символов -0,5 -0,5 -0,5 -0,5 -0,5 Максимальная длина менее 20 символов Максимальная длина более 20 символов Пароль должен содержать цифры +1 +1 +1 +1 +1 Пароль должен содержать буквы +0,5 +0,5 Пароль должен содержать заглавные буквы +0,5 +0,5 Пароль должен содержать специальные символы +0,5 +0,5 Пароль не должен совпадать с логином Пароль не должен совпадать с почтой +1 Пароль не может быть похожим на логин и/или почту (логин + год, заглавная буква в почте и т. п.) +1 Пароль не должен быть словарным Сервис дает рекомендации явно +2 +2 +2 +2 Запрет использования специальных символов +1 +1 +1 Сервис строго придерживается своих рекомендаций -1 Сервис позволяет установить слабый пароль +0,5 +0,5 +0,5 +0,5 +0,5 2FA +0,5 +0,5 +0,5 +0,5 +0,5 app, codes sms, codes sms sms codes Достижения Достижения: никаких рекомендаций от сервиса разные политики при регистрации и смене удалось использовать все словарные пароли сервис набрал менее 4 баллов на почту приходит пароль в открытом виде
  30. 30. 30 Хранение данных Требования к паролю pCloud 4shared OpenDrive MediaFire WebStorage Минимальная длина пароля менее 6 символов -1 -1 Минимальная длина пароля – 6-8 символов -0,5 -0,5 -0,5 Минимальная длина более 8 символов Максимальная длина менее 20 символов Максимальная длина более 20 символов +1 +1 +1 +1 +1 Пароль должен содержать цифры Пароль должен содержать буквы Пароль должен содержать заглавные буквы Пароль должен содержать специальные символы Пароль не должен совпадать с логином Пароль не должен совпадать с почтой +1 Пароль не может быть похожим на логин и/или почту (логин + год, заглавная буква в почте и т. п.) Пароль не должен быть словарным Сервис дает рекомендации явно +1 +1 Запрет использования специальных символов -1 Сервис строго придерживается своих рекомендаций +0,5 +0,5 +0,5 +0,5 +0,5 Сервис позволяет установить слабый пароль -1 -1 -1 -1 -1 2FA +0,5 sms, app Достижения Достижения: никаких рекомендаций от сервиса разные политики при регистрации и смене удалось использовать все словарные пароли сервис набрал менее 4 баллов на почту приходит пароль в открытом виде
  31. 31. Облачные файловые хранилища полезны для обеспечения доступа к данным из любой точки земного шара, где есть доступ к сети. Однако в жертву комфорту, как правило, приносится безопасность. Как бы ни старались разработчики обеспечить сильную криптографию, какой в этом смысл, если пользователи используют пароли, типа «123456»? Обратимся к результатам исследования. Удивил сервис MEGA, который оказался не на первой позиции относительно своих парольных политик. Стоит также отметить, что если вы вдруг забыли свой пароль, восстановить без ре- зервного ключа его не удастся. Все сервисы остались верны своим парольным политикам и при смене/восстановлении паро- ля. Все рекомендации, которые вы можете увидеть на их страницах, должны быть соблюдены. В общем случае все же сохраняется тенденция к предоставлению свободы выбора пароля пользователю. Хочется также отметить сервисы DropBox, OpenDrive и MediaFire, которые про- пустили все исследуемые словарные пароли. Итого: 6 7 5 4 3 2 1 0 -1 4,5 5 7 1 -0,5 0,5 31
  32. 32. 32 Совместная разработка Требования к паролю GitHub GitLab Bitbucket Linode Heroku Минимальная длина пароля менее 6 символов Минимальная длина пароля – 6-8 символов -0,5 -0,5 -0,5 -0,5 -0,5 Минимальная длина более 8 символов Максимальная длина менее 20 символов Максимальная длина более 20 символов +1 +1 +1 +1 +1 Пароль должен содержать цифры +0,5 +0,25* +0,5 Пароль должен содержать буквы +0,5 +0,25* +0,5 Пароль должен содержать заглавные буквы +0,25* Пароль должен содержать специальные символы +0,25* +0,5 Пароль не должен совпадать с логином Пароль не должен совпадать с почтой Пароль не может быть похожим на логин и/или почту (логин + год, заглавная буква в почте и т. п.) Пароль не должен быть словарным +2 +2 Сервис дает рекомендации явно +1 +1 Запрет использования специальных символов Сервис строго придерживается своих рекомендаций +0,5 +0,5 +0,5 +0,5 +0,5 Сервис позволяет установить слабый пароль -1 -1 -1 2FA +0,5 +0,5 +0,5 +0,5 +0,5 sms, app app, e-key app, codes app, codes app Достижения Достижения: никаких рекомендаций от сервиса разные политики при регистрации и смене удалось использовать все словарные пароли сервис набрал менее 4 баллов на почту приходит пароль в открытом виде *любые 2 условия из 4-х
  33. 33. 33 Совместная разработка Требования к паролю SourceForge Launchpad GitKraken Evernote Docker Hub Минимальная длина пароля менее 6 символов Минимальная длина пароля – 6-8 символов -0,5 -0,5 -0,5 -0,5 Минимальная длина более 8 символов +1 Максимальная длина менее 20 символов Максимальная длина более 20 символов +1 +1 +1 +1 +1 Пароль должен содержать цифры Пароль должен содержать буквы Пароль должен содержать заглавные буквы Пароль должен содержать специальные символы Пароль не должен совпадать с логином Пароль не должен совпадать с почтой Пароль не может быть похожим на логин и/или почту (логин + год, заглавная буква в почте и т. п.) Пароль не должен быть словарным +2 Сервис дает рекомендации явно +1 +1 +1 +1 Запрет использования специальных символов Сервис строго придерживается своих рекомендаций +0,5 +0,5 +0,5 +0,5 +0,5 Сервис позволяет установить слабый пароль -1 -1 -1 -1 2FA +0,5 +0,5 app sms, app Достижения Достижения: никаких рекомендаций от сервиса разные политики при регистрации и смене удалось использовать все словарные пароли сервис набрал менее 4 баллов на почту приходит пароль в открытом виде
  34. 34. 34 Хранение и совместное управление репозиториями кода все прочнее входит в жизнь. Репо- зитории позволяют снизить риски потери кода при его интеграции разными разработчиками. Это удобно и в некоторых случаях безопаснее традиционных способов хранения информации. Все рекомендации по безопасности прописаны в правилах пользования сервисами, однако ча- сто ли их читают? Проверим, как сервисы напрямую помогают пользователям не использовать простые пароли. Сервисы GitKraken, Docker Hub и Evernote не проверяют пароли на наличие их в списках наибо- лее часто используемых и допустили все девять исследуемых. Сервис Bitbucket также терпим к словарным комбинациям, но при смене или восстановлении пароля удалось использовать уже меньше словарных паролей. В явных лидерах оказались SourceForge, Heroku и GitHub. Они единственные, кто настаивает на наличии в пароле определенных символов, а также фильтруют слабые пароли. Стоит отметить, что ни один сервис не делает проверку на совпадение пароля с почтой или логином (если такой используется). Итого: 6 5 4 3 2 1 0 5,5 1,5 1 0 6 0,5
  35. 35. 35 Хостинг Требования к паролю FirstVDS vscale digital ocean ISPserver SmartApe Минимальная длина пароля менее 6 символов -1 -1 Минимальная длина пароля – 6-8 символов -0,5 -0,5 -0,5 Минимальная длина более 8 символов Максимальная длина менее 20 символов Максимальная длина более 20 символов +1 +1 +1 +1 +1 Пароль должен содержать цифры +0,25* Пароль должен содержать буквы +0,5 +0,5 Пароль должен содержать заглавные буквы +0,5 Пароль должен содержать специальные символы +0,25* Пароль не должен совпадать с логином +1 Пароль не должен совпадать с почтой +1 Пароль не может быть похожим на логин и/или почту (логин + год, заглавная буква в почте и т. п.) Пароль не должен быть словарным +2 +2 Сервис дает рекомендации явно +1 +1 +1 Запрет использования специальных символов Сервис строго придерживается своих рекомендаций +0,5 +0,5 Сервис позволяет установить слабый пароль -1 -1 -1 2FA +0,5 sms, app Достижения Достижения: никаких рекомендаций от сервиса разные политики при регистрации и смене удалось использовать все словарные пароли сервис набрал менее 4 баллов на почту приходит пароль в открытом виде *любые 2 условия из 4-х
  36. 36. 36 Хостинг Требования к паролю HOSTLIFE Lite.host Bitweb Unihost FirstByte Минимальная длина пароля менее 6 символов Минимальная длина пароля – 6-8 символов -0,5 -0,5 -0,5 -0,5 -0,5 Минимальная длина более 8 символов Максимальная длина менее 20 символов Максимальная длина более 20 символов +1 +1 +1 +1 +1 Пароль должен содержать цифры Пароль должен содержать буквы Пароль должен содержать заглавные буквы Пароль должен содержать специальные символы Пароль не должен совпадать с логином Пароль не должен совпадать с почтой Пароль не может быть похожим на логин и/или почту (логин + год, заглавная буква в почте и т. п.) Пароль не должен быть словарным Сервис дает рекомендации явно +1 +1 Запрет использования специальных символов Сервис строго придерживается своих рекомендаций +0,5 +0,5 +0,5 Сервис позволяет установить слабый пароль -1 -1 -1 -1 -1 2FA +0,5 +0,5 +0,5 +0,5 app app app app Достижения Достижения: никаких рекомендаций от сервиса разные политики при регистрации и смене удалось использовать все словарные пароли сервис набрал менее 4 баллов на почту приходит пароль в открытом виде
  37. 37. Для размещения своего сайта во всемирной паутине иногда приходится прибегать к услугам хостинг-провайдеров. Если злоумышленник получит доступ к чужому аккаунту, ему достанется все, что хранилось на этом сайте: данные аккаунтов пользователей, платежная информация, личные файлы, данные из частной переписки и т.д. Дела в части парольных политик хостингов обстоят, к сожалению, совсем не радужно. Из всех исследованных сервисов только два предъявляли требования к паролю пользователя. Помимо этого, только DigitalOcean и Vscale фильтруют словарные пароли. Сильно удивили сервисы HOSTLIFE и Lite.host. После регистрации они отправили на почту пароли в открытом виде. При этом паролем может быть все, что угодно, в том числе ссылка на другой сайт. Итого: 6 7 5 4 3 2 1 0 -1 5,5 7 1 0 -1 0,5 37
  38. 38. 38 Парольные менеджеры Требования к паролю dashlane Kaspersky LastPass Keeper LogMeOnce Splikity Manage Engine Минимальная длина пароля менее 6 символов Минимальная длина пароля – 6-8 символов -0,5 -0,5 -0,5 -0,5 -0,5 -0,5 Минимальная длина более 8 символов +1 Максимальная длина менее 20 символов Максимальная длина более 20 символов +1 +1 +1 +1 +1 +1 +1 Пароль должен содержать цифры +0,5 +0,5 +0,5 +0,5 +0,5 Пароль должен содержать буквы +0,5 +0,5 +0,5 +0,5 +0,5 Пароль должен содержать заглавные буквы +0,5 +0,5 +0,5 +0,5 +0,5 Пароль должен содержать специальные символы +0,5 Пароль не должен совпадать с логином Пароль не должен совпадать с почтой +1 +1 Пароль не может быть похожим на логин и/или почту (логин + год, заглавная буква в почте и т. п.) Пароль не должен быть словарным +2 +2 +2 +2 +2 Сервис дает рекомендации явно +1 +1 +1 +1 +1 Запрет использования специальных символов -1 Сервис строго придерживается своих рекомендаций +0,5 +0,5 +0,5 +0,5 Сервис позволяет установить слабый пароль -1 -1 2FA +0.5 +0,5 +0,5 +0,5 +0,5 e-key app sms sms, app sms, app, e-key Достижения Достижения: никаких рекомендаций от сервиса разные политики при регистрации и смене удалось использовать все словарные пароли сервис набрал менее 4 баллов на почту приходит пароль в открытом виде
  39. 39. 39 Парольные менеджеры Требования к паролю Symantec SplashID Passpack Bitwarden Password Boss 1password Минимальная длина пароля менее 6 символов -1 Минимальная длина пароля – 6-8 символов -0,5 -0,5 -0,5 -0,5 Минимальная длина более 8 символов +1 Максимальная длина менее 20 символов Максимальная длина более 20 символов +1 +1 +1 +1 +1 +1 Пароль должен содержать цифры +0,5 +0,5 +0,5 Пароль должен содержать буквы +0,5 +0,5 Пароль должен содержать заглавные буквы +0,5 +0,5 Пароль должен содержать специальные символы +0,5 +0,5 Пароль не должен совпадать с логином +1 Пароль не должен совпадать с почтой +1 +1 Пароль не может быть похожим на логин и/или почту (логин + год, заглавная буква в почте и т. п.) Пароль не должен быть словарным +2 +2 +2 Сервис дает рекомендации явно +1 +1 +1 +1 +1 Запрет использования специальных символов Сервис строго придерживается своих рекомендаций +0,5 +0,5 +0,5 +0,5 Сервис позволяет установить слабый пароль -1 -1 -1 2FA +0,5 +0,5 +0,5 +0,5 +0,5 sms, app app, codes, e-key sms, app, codes, e-key app app Достижения Достижения: никаких рекомендаций от сервиса разные политики при регистрации и смене удалось использовать все словарные пароли сервис набрал менее 4 баллов на почту приходит пароль в открытом виде
  40. 40. 40 Активным пользователям, которые беспокоятся о безопасности своих аккаунтов, необходимо каким-то образом хранить большое количество различных сложных паролей. Здесь на помощь приходят менеджеры паролей; эти сервисы помогают хранить в тайне все пароли пользовате- ля, «запирая» их на один мастер-ключ. Помимо этого, данные сервисы могут самостоятельно формировать криптостойкие пароли и автоматически заполнять формы. Давайте проверим, какие требования к паролю они предъявляют. В данной группе дела обстоят весьма неплохо. Стоит отметить, что многие сервисы придер- живаются довольно строгих взглядов на восстановление паролей, а именно отказываются от этого вовсе. Большинство парольных менеджеров использовали одни и те же парольные политики при создании и изменении пароля, чего нельзя сказать о сервисе LastPass, который позволяет пользователю гораздо больше, когда речь заходит об изменении пароля. Минимальная длина паролей начиналась от 8 символов, а максимальная всегда превышала 20. Это замечательно, если при этом пользователи не будут использовать в качестве пароля свою почту или логин (а многие сервисы не используют подобные ограничения). Итого: 6 7 8 9 5 4 3 2 1 0 5,5 8,5 6,5 0 6 7 5 3 0,5
  41. 41. 41 Новостные сервисы Требования к паролю РИА Новости Новая газета Lenta.ru Военное обозрение Life.ru Sportbox BFM. RU Минимальная длина пароля менее 6 символов -1 -1 Минимальная длина пароля – 6-8 символов -0.5 -0.5 -0.5 -0.5 -0.5 Минимальная длина более 8 символов Максимальная длина менее 20 символов Максимальная длина более 20 символов +1 +1 +1 +1 +1 +1 +1 Пароль должен содержать цифры Пароль должен содержать буквы Пароль должен содержать заглавные буквы Пароль должен содержать специальные символы Пароль не должен совпадать с логином Пароль не должен совпадать с почтой Пароль не может быть похожим на логин и/или почту (логин + год, заглавная буква в почте и т. п.) Пароль не должен быть словарным Сервис дает рекомендации явно +1 +1 Запрет использования специальных символов Сервис строго придерживается своих рекомендаций +0.5 +0.5 +0.5 +0.5 +0.5 +0.5 Сервис позволяет установить слабый пароль -1 -1 -1 -1 -1 -1 -1 2FA Достижения Достижения: никаких рекомендаций от сервиса разные политики при регистрации и смене удалось использовать все словарные пароли сервис набрал менее 4 баллов на почту приходит пароль в открытом виде
  42. 42. 42 Новостные ресурсы уже прочно заняли свою нишу, заменив собой бумажные газеты. Многие из них имеют функцию комментирования новостей, чтобы читатели могли сразу же обсудить последние события и поделиться своим мнением. Для этого пользователям предлагают заре- гистрироваться. В данном случае с безопасностью все довольно плохо. Можно предположить, что никакой про- блемы в том, что аккаунт на новостном портале взломают – ведь всегда можно создать еще один. Но особо изощренные злоумышленники могут подпортить репутацию комментирующе- го, оставляя дискредитирующие последнего посты и разжигая споры от его имени. Все рассмотренные новостные сервисы позволили установить слабый пароль, а некоторые и пароль длиной менее 6 символов, что не имеет ничего общего с безопасностью. Крайне важно не использовать на таких сервисах тот же пароль, что уже используется на других ресурсах. Это группа сервисов с самыми низкими оценками в данном исследовании. Все сервисы полу- чили по несколько «достижений». Итого: 1 -1 0 0 1 -1
  43. 43. 43 Развлекательные ресурсы Требования к паролю pikabu reddit Sports.ru Adme Twitch 4pda Минимальная длина пароля менее 6 символов -1 -1 Минимальная длина пароля – 6-8 символов -0,5 -0,5 -0,5 -0,5 Минимальная длина более 8 символов Максимальная длина менее 20 символов -0,5 Максимальная длина более 20 символов +1 +1 +1 +1 +1 Пароль должен содержать цифры Пароль должен содержать буквы Пароль должен содержать заглавные буквы Пароль должен содержать специальные символы Пароль не должен совпадать с логином Пароль не должен совпадать с почтой Пароль не может быть похожим на логин и/или почту (логин + год, заглавная буква в почте и т. п.) Пароль не должен быть словарным Сервис дает рекомендации явно +1 +1 +1 Запрет использования специальных символов -1 Сервис строго придерживается своих рекомендаций +0,5 +0,5 +0,5 +0,5 +0,5 Сервис позволяет установить слабый пароль -1 -1 -1 -1 -1 -1 2FA +0,5 +0,5 +0,5 sms app sms, app Достижения Достижения: никаких рекомендаций от сервиса разные политики при регистрации и смене удалось использовать все словарные пароли сервис набрал менее 4 баллов на почту приходит пароль в открытом виде
  44. 44. 44 Развлекательные ресурсы Требования к паролю Deviant Art GeekBrains coub Amediateka livelib Минимальная длина пароля менее 6 символов -1 Минимальная длина пароля – 6-8 символов -0,5 -0,5 -0,5 -0,5 Минимальная длина более 8 символов Максимальная длина менее 20 символов Максимальная длина более 20 символов +1 +1 +1 +1 +1 Пароль должен содержать цифры Пароль должен содержать буквы Пароль должен содержать заглавные буквы Пароль должен содержать специальные символы Пароль не должен совпадать с логином +1 Пароль не должен совпадать с почтой Пароль не может быть похожим на логин и/или почту (логин + год, заглавная буква в почте и т. п.) Пароль не должен быть словарным +2 Сервис дает рекомендации явно +1 +1 +1 Запрет использования специальных символов Сервис строго придерживается своих рекомендаций +0,5 +0,5 +0,5 +0,5 Сервис позволяет установить слабый пароль -1 -1 -1 -1 2FA Достижения Достижения: никаких рекомендаций от сервиса разные политики при регистрации и смене удалось использовать все словарные пароли сервис набрал менее 4 баллов на почту приходит пароль в открытом виде
  45. 45. Все любят развлекательные ресурсы: посмотреть веселые картинки, поделиться своим творче- ством и мнением – словом, приятно провести несколько часов своей жизни. В общем и целом, ценность безопасности аккаунтов на этих ресурсах сравнима с аккаунтами на новостных сай- тах. Однако данные ресурсы куда более популярны: количество пользователей Pikabu превыша- ет 1,2 млн, а на сайте Reddit, популярном у англоговорящих пользователей, свыше 36 млн. Парольные политики данной группы сервисов тоже не вызывают доверия. Лишь один сервис «преодолел черту бедности» в нашей балльной системе. Все остальные исследованные сервисы позволяли использовать словарные пароли и не применяли никаких проверок к устанавливае- мым паролям. Несмотря на все это, было приятно узнать о возможности использовать второй фактор защиты на некоторых ресурсах. Итого: 5 4 3 2 1 -1 -2 -3 0 0 5 1 -2,5 -0,5 0,5 -1 45
  46. 46. 46 Блоги и форумы Требования к паролю Tumblr Live Journal Habr CyberForum FootBoom.com Минимальная длина пароля менее 6 символов -1 Минимальная длина пароля – 6-8 символов -0,5 -0,5 -0,5 -0,5 Минимальная длина более 8 символов Максимальная длина менее 20 символов Максимальная длина более 20 символов +1 +1 +1 +1 +1 Пароль должен содержать цифры +0,5 Пароль должен содержать буквы +0,5 Пароль должен содержать заглавные буквы +0,5 Пароль должен содержать специальные символы Пароль не должен совпадать с логином +1 Пароль не должен совпадать с почтой +1 Пароль не может быть похожим на логин и/или почту (логин + год, заглавная буква в почте и т. п.) +1 Пароль не должен быть словарным +2 +2 Сервис дает рекомендации явно +1 +1 Запрет использования специальных символов -1 Сервис строго придерживается своих рекомендаций +0,5 +0,5 +0,5 +0,5 Сервис позволяет установить слабый пароль -1 -1 -1 2FA +0.5 sms, app Достижения Достижения: никаких рекомендаций от сервиса разные политики при регистрации и смене удалось использовать все словарные пароли сервис набрал менее 4 баллов на почту приходит пароль в открытом виде
  47. 47. 47 Блоги и форумы Требования к паролю forum.mfd.ru ForumSport.ru linux.org.ru ForexDengi ZiSMO Минимальная длина пароля менее 6 символов -1 -1 -1 -1 Минимальная длина пароля – 6-8 символов -0,5 Минимальная длина более 8 символов Максимальная длина менее 20 символов Максимальная длина более 20 символов +1 +1 +1 +1 +1 Пароль должен содержать цифры +0,5 Пароль должен содержать буквы +0,5 Пароль должен содержать заглавные буквы Пароль должен содержать специальные символы Пароль не должен совпадать с логином Пароль не должен совпадать с почтой Пароль не может быть похожим на логин и/или почту (логин + год, заглавная буква в почте и т. п.) Пароль не должен быть словарным Сервис дает рекомендации явно -1 Запрет использования специальных символов -1 Сервис строго придерживается своих рекомендаций +0,5 Сервис позволяет установить слабый пароль -1 -1 -1 -1 -1 2FA sms, app Достижения Достижения: никаких рекомендаций от сервиса разные политики при регистрации и смене удалось использовать все словарные пароли сервис набрал менее 4 баллов на почту приходит пароль в открытом виде
  48. 48. 48 Блоги и форумы — вещь довольно старая, но не теряющая актуальности. Здесь можно обсу- дить всё: от новинок в мире IT до последних новостей спорта. На этот раз мы решили проверить парольные политики в этой темной стороне интернета. У данной группы ресурсов оценки сравнимы с развлекательными ресурсами. Лишь один из сервисов предъявляет ряд требований к паролю. Было приятно отметить, что все сервисы используют одни и те же парольные политики как при регистрации, так и при смене или вос- становлении пароля. Практически все исследуемые сервисы предъявляли неоправданно мало требований к паро- лям пользователей и не проверяли их. Такое положение дел у исследуемых сервисов можно оправдать желанием не отпугнуть пользователей большим сводом правил. В погоне за попу- лярностью безопасность отодвигается на второй план. Итого: 6 7 8 5 4 3 2 1 -1 0 7,5 0 1 -1 2,5 -0,5
  49. 49. Интернет-банкинг В данном исследовании мы не обошли стороной и интернет-банкинг. Сейчас любые операции с банковскими счетами можно совершать онлайн в браузе- ре. В самых популярных онлайн-банках на сегодняшний день больше мил- лиона активных пользователей. Оно и понятно — это быстро и удобно. В ос- новном, для подтверждения операций используются одноразовые пароли, присылаемые с помощью СМС, а иногда – электронно-цифровая подпись или специальный платежный пароль. Пароль для аккаунта обычно формирует сам банк и его можно получить в офисе или банкомате. По умолчанию при входе в аккаунт, помимо пароля, требуется дополнительный код. В настройках аккаунта это можно отключить (настоятельно советуем не делать этого). Все же полагаться только на пароль, как показало исследование, не стоит. В данном исследовании нами были проверены парольные политики десяти самых популярных онлайн-банков. При смене сформированного банком пароля пользователю придется следо- вать установленным сервисом парольным политикам. Самым популярным решением сервисов в данном случае было ограничение на длину (минимум 6-8 символов, максимум больше 20). Также пароль обязательно должен содер- жать цифры и буквы. Очень удивил один знакомый многим онлайн-банк, который в качестве логина использовал номер теле- фона пользователя и позволял установить точно такой же пароль. При этом буквы или специальные символы использовать в пароле вообще запрещалось. Помимо прочего, в ходе исследования выяснилось, что не все сервисы реализовали проверку совпадения па- роля с логином или почтой. Получилось также использо- вать большую часть словарных паролей. В целом, уровень качества парольных политик у иссле- дованных сервисов сравним с парольными менеджерами или криптовалютными сервисами. Многим из них также недостает функционала проверки на совпадение паро- лей со словарными и рекомендаций использовать за- главные или спецсимволы. Логично было бы предположить, что уж сервисы ин- тернет-банкинга будут внимательнее всех относиться к безопасности аккаунтов своих пользователей. Конечно, одноразовые коды подтверждения по смс — это хорошо, но только пока телефон в ваших руках. Картина осталась прежней: использование надежного пароля до сих пор является частной инициативой. 49
  50. 50. Выводы Далее наглядно демонстрируется, какие сервисы больше всего беспокоятся о защите аккаунтов своих пользователей, буквально заставляя их создавать и использовать сложные пароли. Здесь же присутствуют и антирекордсмены нашего рейтинга, которые в погоне за популярностью забывают о безопасности. На этот раз победителем можно признать почтовые сервисы, второе место принадлежит ресурсам криптовалюты, а бронза досталась сервисам интернет-банкинга. Последние строчки рейтинга достались новостным и развлекательным ресурсам, блогам и форумам. 50

×