TehnoȘtiri

75% DINTRE CELE MAI IMPORTANTE SITE-URI WEB DIN LUME PERMIT CONFIGURAREA PAROLELOR SLABE

(c) Rafael Henrique/SOPA Images/LightRocket via Getty Images

Trei sferturi dintre cele mai populare site-uri web din lume, în limba engleză, încă permit utilizatorilor să aleagă cele mai comune parole, cum ar fi „abc123456” și „P@$$w0rd”.

Mai mult de jumătate din cele 120 de site-uri web de top permit, de asemenea, toate cele 40 dintre cele mai comune scurgeri și parole ușor de ghicit. Site-urile includ portaluri de cumpărături populare, cum ar fi Amazon și Walmart, aplicația de social media TikTok, site-ul de streaming video Netflix, compania Intuit și producătorul software-ului de returnare a impozitelor TurboTax, pe care milioane de oameni din SUA îl folosesc.

Oficialii Amazon au declarat faptul că recomandă utilizatorilor să configureze verificarea în doi pași și că platforma poate „solicita provocări suplimentare de autentificare în timpul conectării”, în cazul în care detectează un risc de securitate. Arhitectul șef al Intuit, Alex Balazs, a declarat că va investiga descoperirile și a subliniat utilizarea de către Intuit a autentificării cu mai mulți factori și a detectării fraudelor. Celelalte companii menționate mai sus nu au răspuns solicitării de comentarii a revistei New Scientist.

„Este tentant să concluzionez că companiilor pur și simplu nu le pasă de securitatea utilizatorilor, dar nu cred că este corect a se sugera că spargerea conturilor utilizatorilor nu este deloc în interesul lor”, spune Arvind Narayanan din cadrul Universității Princeton.

Pentru a efectua analiza site-urilor web în limba engleză, clasificate ca fiind populare de diverse servicii de internet, Narayanan și colegii săi au verificat manual 40 de parole în cadrul fiecărui site. Folosind cerințele de parolă ale fiecărui site, au selectat 20 de parole dintr-o eșantionare aleatorie a celor 100.000 de parole cele mai frecvent utilizate găsite în încălcări ale datelor, împreună cu primele 20 de parole ghicite de un instrument de spargere a parolelor.

Doar 15 site-uri web au blocat toate cele 40 de parole testate. Printre acestea s-au numărat Google, Adobe, Twitch, GitHub și Grammarly.

În anul 2017, Institutul Național de Standarde și Tehnologie din SUA a lansat o serie de recomandări pe care să le urmeze site-urile web, cum ar fi includerea indicatoarelor de putere care încurajează utilizatorii să creeze parole mai puternice, menținerea listelor blocate de parole scurse și ușor de ghicit și permiterea numai a parolelor care conțin cel puțin opt caractere.

Doar 23 dintre cele mai populare 120 de site-uri web folosesc indicatoare de putere ale parolelor. Prin comparație, 54 de site-uri se bazează în continuare pe politici de compunere a parolelor care au evaluări slabe de securitate și de utilizare, cum ar fi forțarea utilizatorilor să creeze parole complexe cu un amestec specific de litere mari și mici, numere și simboluri. Între timp, utilizatorii se pot proteja prin nereutilizarea parolelor pentru conturile lor online.

„Ne așteptam cu siguranță ca mai multe site-uri web să urmeze cele mai bune practici”, spune membrul echipei Kevin Lee din cadrul Universității Princeton. Echipa de cercetători va prezenta concluziile în cadrul Simpozionului privind confidențialitatea și securitatea utilizabile din august 2022.

Cercetătorii rămân nesiguri cu privire la motivul pentru care atât de multe site-uri web populare au încă politici de parole necorespunzătoare. O posibilitate este că organizațiile preferă să cheltuiască bani pentru alte măsuri de securitate, deoarece poate fi dificil de măsurat impactul îmbunătățirii politicilor de parole, spune Sten Sjöberg, manager de program de securitate Microsoft, care a contribuit la cercetare în timp ce studia la Universitatea Princeton.

De asemenea, domeniul de securitate ar putea avea o „oarecare problemă de tip clichet. Nu este ușor să anulezi o protecție, cum ar fi solicitarea de schimbări frecvente a parolei, chiar și atunci când s-a demonstrat științific că nu este benefică, pentru că nimeni nu vrea să fie învinovățit dacă ceva nu funcționează ulterior”, spune Michelle Mazurek din cadrul Universității din Maryland.