اکثر سرویس‌های وب بر ضعیف بودن گذرواژه‌ها نظارت نمی‌کنند

کمبته رکن چهارم – وب‌گاه GoDaddy بهترین سیاست برای انتخاب گذرواژه را در میان وب‌گاه‌های مختلف دارد و در این بین نت‌فلیکس، پاندوا و اوبر بدترین‌ها هستند. توسعه‌دهنده‌ی برنامه‌ی مدیریت گذرواژه‌ی Dashlane که می‌تواند گذرواژه را در تمام سامانه عامل‌ها هم‌گام سازی کند، یافته‌های خود را در سال ۲۰۱۷ منتشر کرد. از پنج محقق برای بررسی معیارهای امنیت گذرواژه در  ۳۷  وب‌گاه محبوب و ۱۱ وب‌گاه تجاری استفاده شده ‌است. برای هر وب‌گاه یک امتیاز برای هر پنج معیار تعیین‌شده، اختصاص داده شده است. 

معیارهای ارزیابی شامل طول گذرواژه(حداقل ۸ حرف)، ترکیب مورد نیاز از پارامترهای عددی و حروف الفبا، ارزیابی قدرت گذرواژه (مانند نوار رنگی یا نوار اندازه‌گیری)، قفل حساب (پس از ۱۰ بار وارد کردن اشتباه گذرواژه) و یک گزینه‌ی MFA می‌شدند. سه مورد از این پنج مورد ملاحظاتی است که برای حداقل‌های امنیت گذرواژه‌ی خوب، در نظر گرفته می‌شود. Dashlane می‌پذیرد که انتخاب گذرواژه به عهده‌ی کاربران است، اما معتقد است که وب‌گاه‌های خدماتی هم وظیفه دارند در این رابطه به کاربر کمک کنند.  مدیر عامل این شرکت گفت: «کار ما این است که به کاربران کمک کنیم تا در مورد امنیت سایبری بسیار هوشیار باشند و از گذرواژه‌ی قوی و منحصربفرد برای هر حساب کاربری استفاده کنند. با این وجود شرکت‌ها مسئول استفاده از آن‌ها هستند و باید به آن‌ها در جهت استفاده‌ی بهتر گذرواژه کمک کنند.»

از ۳۷ وب‌گاه مورد بررسی، تنها GoDaddy، امتیاز ۵.۵ را کسب کرده ‌است. ۱۹ وب‌گاه دیگر نیاز است که امتیاز بالا کسب کنند. این شامل بسیاری از وب‌گاه‌های است که انتظار می‌رود به خوبی کار می‌کنند مانند گوگل، فیس‌بودک، وردپرس، اسنپ‌چت و یاهو. با این حال، وب‌گاه‌هایی که شکست خورده‌اند، باعث نگرانی هستند.  ای‌بِی، آمازون و توییتر از جمله‌ وب‌گاه‌هایی هستند که فقط دو امتیاز را توانستند کسب کنند. دراپ‌باکس و پینترست تنها یک امتیاز کسب کردند و البته نت‌فلیکس امتیازی کسب نکرد. لازم به ذکر است که این نظرسنجی فقط در مورد نحوه‌ی ارائه‌ی خدمات به کاربر در انتخاب و استفاده از گذرواژه است. در مورد وضعیت امنیت کلی وب‌گاه چیزی مشخص نشده ‌است (برای مثال، آیا کنترل‌های دسترسی رفتاری در قسمت داخلی اجرا می‌شود و منفعل عمل می‌کند). 

 Dashlane همچنین چند نکته‌ی بسیار نگران کننده را ذکر کرد. اینکه محققان آن‌ها توانسته‌اند گذرواژه‌ها را با استفاه از حرف کوچک a در وب‌گاه‌هایی مانند آمازون، اینستاگرام، گوگل و لینکدین ایجاد کنند. نت‌فلیکس و Spotify گذرواژه‌ی aaaa را پذیرفتند. در این حالت این نگرانی وجود داشت که اگر چنین گذرواژه‌ی ساده‌ای قابل قبول باشد، بسیاری از کاربران یک رمز ساده و معمولی را انتخاب می‌کنند. در اوایل سال جاری، تجزیه و تحلیل ۱۰ میلیون گذرواژه نشان داد که ۲۵ گذرواژه‌ی محبوب وجود دارد که با امنیت بالای ۵۰% برای حساب‌ها استفاده می‌شود. توصیه‌ی Dashlane به ارائه دهندگان خدمات برخط در چنین مواردی اساسا چهار مورد است. اول اینکه گذرواژه‌ حداقل ۸ نویسه باید داشته ‌باشد. ثانیا، لازم است که آن‌ها یک ترکیب حساس به حروف کوچک و بزرگ از نویسه‌های حروف الفبا و عددی باشند. ثالثا، ارائه‌دهنده‌ی خدمات باید استفاده از گذرواژه‌های معروف را ممنوع کند و در نهایت، در صورتی که مهاجم در فهرستی از گذرواژه‌های رایج کار کند، حساب کاربری قربانی مسدود و قفل شود.

منبع : asis