В последние несколько недель чуть ли не самой главной темой является безопасность в Интернете. Обсуждались и самые "небезопасные", но в то же время очень популярные пароли, и проблема с паролями в Amazon, обнаружившаяся в августе 2013 года. Интернет просто пестрит соответствующими многочисленными заголовками, статистикой и инфографиками.
Компания Dashlane, предоставляющая одноимённый менеджер паролей для всех популярных браузеров, iOS и Android, опубликовала результаты собственного исследования по теме безопасности. В документе на 6 страницах можно найти много интересной информации, в том числе и список самых безопасных и небезопасных сайтов. Как оказалось, даже такие крупные компании, как Amazon, Macy's, GroupOn и Hulu, не могут обеспечить своим клиентам должной безопасности, тогда как Apple и Microsoft находятся на верхних строчках списка самых безопасных сайтов.
Основные выводы исследования Dashlane
Ниже приведены самые ключевые моменты из отчёта Dashlane:
- В исследовании приняли участие Top 100 американских организаций, относящихся к сфере электронной коммерции
- 55% из них принимают такие пароли, как "123456" или "password"
- 51% из них не имеют даже простой защиты от кражи поролей (логин не блокируется даже после 10 неправильных попыток)
- у 64% компаний сомнительная политика относительно паролей
- 61% не даёт никаких инструкций по созданию надёжного пароля
- 93% не показывают индикатор надёжности введённого пароля
- 10% сервисов инструктируют о том, как создать "хороший пароль"
- 73% принимают пароли из 6 и менее символов
- 62% принимают любую комбинацию, даже без букв
- 8 из 100 сайтов высылают пароли на электронную почту простым текстом
Если вы хотите проверить, насколько безопасным является онлайн-магазин, которым вы пользуетесь, то можете сделать это прямо у Dashlane. Там вы найдёте PDF-файл со списком всех 100 протестированных компаний.
Что нужно сделать, чтобы защитить себя и своих клиентов (по мнению Dashlane)
Существует несколько простых методов, позволяющих существенно повысить безопасность. К ним относятся:
- минимальная длина пароля - 8 символов
- сочетание прописных и строчных букв, цифр и символов
- блокировка доступа после 4 неверных попыток
- предоставление пользователю информации о том, как создать надёжный пароль
- показ индикатора надёжности пароля ("password strength")
Критерии оценки
Dashlane выработала несколько критериев, по которым можно произвести оценку сайта:
- Какова должна быть минимальная длина пароля?
- Виден ли пароль во время его ввода?
- Есть ли подсказки, как создать надёжный пароль?
- Должен ли пароль обязательно включать в себя прописные и строчные буквы, цифры и символы?
- Отображается ли индикатор надёжности пароля по мере его ввода?
- Приходит ли пароль на электронную почту простым текстом? Или даже логин вместе с паролем высылается простым текстом?
Самим тоже не стоит забывать, что не следует использовать пароли, которые относятся к категории "плохих" (о таких мы недавно писали). Кроме того, нужно проверить процедуру изменения пароля. Приходит ли подтверждение по электронной почте? Может ли новый пароль быть аналогичным старому? Отображается ли новый пароль (логин) в письме простым текстом? Сколько попыток входа можно сделать с неверным паролем?
По всем этим пунктам Dashlane проверяла 100 американских компаний. Все результаты исследования, включая статистику и графики, можно найти здесь: www.dashlane.com/ securityroundup.
Есть и хорошие примеры
Конечно же, не все интернет-компании халатно относятся к вопросам безопасности своих клиентов. Многие из них (включая PayPal, Google и Microsoft) работают над повышением безопасности своих сервисов и используют двухфакторную аутентификацию. Пользователь не только должен ввести правильный пароль, но и иметь под рукой мобильный телефон, на который будет выслано SMS-сообщение с кодом, либо приложение сгенерирует соответствующий код. Тем не менее, регулярно происходят какие-нибудь хакерские атаки, такие как в октябре прошлого года, когда хакеры получили доступ к 2,9 млн. данным клиентов Adobe. Даже двухфакторная аутентификация не гарантирует полной безопасности. К примеру, в прошлом году такая система была взломана в Twitter.
В конечном счёте, именно пользователи ответственны за надёжность своих паролей. Что может быть удобнее, чем использовать один и тот же пароль и адрес электронной почты для всех сервисов? В этом случае могут помочь такие решения, как Dashlane, KeePass и 1Password.