В далеком 2015 мы уже проводили тестирование парольных политик крупнейших веб-сервисов, результаты которого были представлены здесь. И вот, спустя 4 года, мы решили обновить и расширить это исследование. В исследовании 2019 года мы проверили 157 сервисов, разделенных на 14 категорий в зависимости от их назначения. Если вам интересно как к парольным политикам подходят такие крупные ресурсы, как Gmail, Facebook, eBay, PayPal, Steam, coinbase, DropBox, GitHub и многие другие, добро пожаловать под кат!
Чтобы пользователи не смогли ограничиться простейшими паролями в процессе регистрации аккаунта и, следовательно, не подставили себя под удар, существуют парольные политики. Они определяют требования к длине паролей, типам допустимых и обязательных для использования символов, к степени сложности и т. д. В ходе исследования мы выяснили, какие парольные политики используются на различных веб-сервисах.
Стоит сразу отметить, что полностью полагаться на требования веб-ресурсов при выборе своего пароля не стоит. Исследование показало: даже если ты следуешь всем рекомендациям, сервис может позволить использовать некоторые из самых распространенных словарных паролей.
Методология исследования
Для проведения анализа нами был определен набор правил, представленных в Таблице 1, – компиляция рекомендаций множества сервисов, популярных и не очень.
Следующим шагом была оценка предлагаемых ресурсами требований с помощью баллов. За каждый недочет, который может в итоге привести к «ослаблению» пароля, вычитались баллы. И, напротив, сервисы с оптимальными рекомендациями зарабатывали заслуженные баллы. Чем больше баллов, тем, соответственно, лучше парольная политика сервиса.
Конечно, хуже всего, если правил создания паролей нет вовсе, и малое количество баллов тут не требует пояснений. Однако подход, при котором сервис требует создавать комбинацию не длиннее 20 символов или запрещает использовать специальные символы, также «ослабляет» пароли. Поэтому и в данном случае вычитание баллов вполне оправдано.
Помимо перечисленных правил 0.5 балла добавляло наличие двухфакторной аутентификации у сервиса.
Также мы сформировали небольшой список паролей (см. Таблицу 2), которые в той или иной степени удовлетворяют этим правилам, но при этом являются словарными и часто используемыми. Если сервис позволял зарегистрироваться с предложенными комбинациями, он терял баллы.
Атака по словарю значительно ускоряет взлом пароля и повышает шансы успешности атаки методом перебора. Для тестирования возможности установки простых паролей были выбраны пароли из нескольких известных словарей:
Словарь RockYou – один из самых популярных словарей для атаки методом перебора. Он включает в себя пароли, украденные со взломанного сайта компании RockYou – разработчика приложений для соцсетей.
Для наглядности мы добавили ряд «достижений» за недостатки парольной политики.
Тестирование парольных политик веб-сервисов
В результате тестирования было проанализировано 157 ресурсов различного назначения. Список выбранных категорий расширился, к старым добавились:
Посмотрим сразу на результаты. В таблице ниже можно найти лидеров и аутсайдеров каждой группы сервисов, сравнить количество полученных достижений, но самое главное – узнать, кто больше беспокоится о безопасности аккаунтов своих пользователей.
Не всегда даже самые крупные сервисы уделяют достаточное внимание защите от создания простых паролей, а значит, и безопасности аккаунтов пользователей. Лишь единицы из самых популярных ресурсов интернета предъявляют серьезные требования к аутентификации.
Социальные сети
Покажем, как мы считали баллы на примере социальных сетей. Таблица распределения баллов получилась следующая.
Итоговые результаты в данной группе сервисов.
Большинство исследуемых сервисов предъявляет минимум требований к паролю. В основном, ограничения накладываются лишь на минимальную длину. По сравнению с прошлым исследованием на этот раз пароли «подросли», минимум 6-8 символов. Однако до сих пор отсутствует проверка словарных паролей. Соцсетям по-прежнему все равно, какой пароль вы будете использовать. Таким образом, мы оценили все 14 групп сервисов. Что же изменилось за последние пару лет?
В общем зачете по-прежнему лидируют почтовые сервисы, что вполне логично и обоснованно, а вот социальные сети покинули свою вторую позицию и переместились в середину списка. Сервисы электронной коммерции оказались в рейтинге еще ниже, чем раньше.
Почтовые сервисы
Как и 4 года назад, в аутсайдерах среди почтовых сервисов оказался ресурс Pobox. К нему присоединился почтовый сервис ProtonMail, который не использует никакие парольные политики и перекладывает всю ответственность за надежность пароля на плечи пользователя.
Криптовалютные сервисы
В группе криптовалютных сервисов отстающие ранее в плане безопасности сервисы CEX.IO и BitPay усилили свои политики и теперь заняли средние позиции.
Интернет-банкинг
Лишь на третьей строчке рейтинга оказались сервисы интернет-банкинга. Логично было бы предположить, что сервисы данной категории точно будут внимательнее всех относиться к безопасности аккаунтов своих пользователей. В реальности все оказалось несколько иным. Выяснилось, что не все сервисы реализовали проверку совпадения пароля с логином или почтой. Получилось также использовать большую часть словарных паролей. Конечно, одноразовые коды подтверждения по смс — это хорошо, но только пока телефон в ваших руках. В целом, уровень качества парольных политик у исследованных сервисов сравним с парольными менеджерами или криптовалютными сервисами.
Платежные сервисы
В группе платежных сервисов WebMoney за последние годы с лидирующей позиции сместился в самый низ списка. Почти каждый сервис дает большое количество рекомендаций по выбору пароля. Самые простые пароли они, конечно, блокируют, но все равно подобный уровень безопасности недопустим в контексте такого рода сервисов.
Игровые сервисы
Игровые сервисы стали лучше заботиться о парольных политиках. Правда, это не мешает тому, что аккаунты игроков постоянно появляются в базах утекших данных. Интересное условие появилось на странице PlayStation Network — запрет повторяющихся, а также расположенных друг за другом на клавиатуре символов. Но пару словарных паролей при этом все равно получилось установить.
Облачные файловые хранилища
Эти сервисы полезны для обеспечения доступа к данным из любой точки земного шара, где есть доступ к сети. Однако в жертву комфорту, как правило, приносится безопасность. Все также сохраняется тенденция к предоставлению свободы выбора пароля пользователю.
Хостинги
Дела в части парольных политик хостингов обстоят, к сожалению, совсем не радужно. Из всех исследованных сервисов только два предъявляли требования к паролю пользователя. Помимо этого, только DigitalOcean и Vscale фильтруют словарные пароли.
Развлекательные ресурсы
Парольные политики развлекательных ресурсов также не вызывают доверия. Лишь один сервис «преодолел черту бедности» в нашей балльной системе. Все остальные исследованные сервисы позволяли использовать словарные пароли и не применяли никаких проверок к устанавливаемым паролям. Несмотря на все это, было приятно узнать о возможности использовать двухфакторную аутентификацию на некоторых ресурсах.
Блоги и форумы
Не далеко ушли блоги и форумы – они предъявляли неоправданно мало требований к паролям пользователей и не проверяли их. Такое положение дел у исследуемых сервисов можно оправдать желанием не отпугнуть пользователей большим сводом правил. В погоне за популярностью безопасность отодвигается на второй план. И Хабр мы не обошли стороной – честно проверили его парольные политики, результаты совсем не впечатлили: нет проверки на совпадение паролей с логином или словарными паролями, никаких рекомендаций по используемым символам.
Выводы
Картина осталась прежней: использование надежного пароля до сих пор является частной инициативой. Лишь единицы из самых популярных ресурсов интернета предъявляют серьезные требования к аутентификации. Такое отношение к безопасной аутентификации можно объяснить погоней сервисов за аудиторией. Здесь необходимо выбрать «золотую середину»: слишком сложные правила заставят потратить ощутимо больше времени на регистрацию, что может отпугнуть пользователя. С другой стороны, полное отсутствие политик обязательно повлечет за собой возникновение инцидентов безопасности.
Впрочем, как бы ни старались разработчики сервисов, если пользователь сам не будет заботиться о своей защите, ему никто не поможет. Полный текст исследования вы найдете здесь.