آماری جالب از داده‌های استخراج شده توسط یک افزونه امنیتی

کمیته رکن چهارم – بر اساس مطالعه انجام شده توسط کارشناسان شرکت گوگل و یک محقق دانشگاه استنفورد، ۱٫۵ درصد از ثبت‌های ورود (Login) در بستر وب، با استفاده از رمزهای عبور افشا شده انجام می‌شود.

در استخراج این آمار، داده‌های جمع‌آوری شده توسط افزونه Google Password Checkup مورد استناد قرار گرفته است.

Password Checkup، یک سرویس اطلاع‌رسانی در خصوص اطلاعات اصالت‌سنجی (Credential) ناامن است.

Password Checkup پس از ثبت ورود کاربر در مرورگر مجهز به این افزونه، درهم‌ساز (Hash) اطلاعات اصالت‌سنجی وارد شده را به گوگل ارسال می‌کند. در ادامه، اطلاعات ارسالی با بانک داده‌ای حاوی ۴ میلیارد نام کاربری و رمز عبور افشا شده مورد مقایسه قرار گرفته و در صورت مشاهده هر گونه تطابق، در هشدارهایی مشابه تصاویر زیر از کاربر خواسته می‌شود تا نسبت به تغییر رمز عبور خود اقدام کند.

در این مطالعه آمار جمع‌آوری شده توسط Password Checkup در فاصله بین ۱۶ بهمن تا ۱۳ اسفند سال گذشته لحاظ شده است. بر این اساس از میان ۲۱,۱۷۷,۲۳۷ ثبت ورود رصد شده، در ۳۱۶,۵۳۱ موارد (۱٫۵ درصد) از رمز عبوری استفاده شده که اطلاعات آن به نحوی در بانک داده مذکور موجود بوده است.

همچنین بر طبق این مقاله نمایش هشدار منجر به تغییر رمز عبور توسط ۲۶ درصد این کاربران شده است. ۶۰ درصد رمزهای عبور تغییر یافته نیز امن‌تر گزارش شده‌اند.

باید توجه داشت که افرادی که اقدام به نصب افزونه Password Checkup کرده‌اند در دسته کاربرانی قرار می‌گیرند که حداقل تا حدودی نسبت به ملاحظات امنیتی آگاه هستند. بنابراین انتظار می‌رود که آمار واقعی بسیار فراتر از آمار ۱٫۵ درصدی حاصل شده در جریان این مطالعه باشد. موضوعی که این محققان نیز به آن اذعان داشته‌اند:

Our detection rate is lower than the 6.9% reported by Thomas et al. [54] for 751 million Google accounts and 1.9 billion breached credentials. Possible reasons include the user population that adopted our extension is more security conscious— thus avoiding reuse as a behavior—or that dormant accounts have a higher reuse rate, which by nature our extension cannot observe as we perform checks at login time.

مشروح این مقاله با عنوان “Protecting accounts from credential stuffing with password breach alerting” که هفته گذشته در سمپوزیوم امنیتییوزنیکس ارائه شد در اینجا قابل دریافت و مطالعه است.

منبع : شبکه گستر

درباره نویسنده

پست های مرتبط

پاسخ دهید


خبرگزاری هرانا

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *


Type The Red Captcha Characters Below.