Tri četvrtine najpopularnijih svjetskih web stranica na engleskom jeziku i dalje omogućuju ljudima da odaberu najčešće zaporke, poput "abc123456" i "P@$$w0rd".
Više od polovice od 120 najbolje rangiranih web stranica također dopušta svih 40 najčešćih procurjelih i lako pogodnih zaporki. Stranice uključuju popularne portale za kupovinu kao što su Amazon i Walmart, društvenu mrežu TikTok, stranicu za streaming videa Netflix i tvrtku Intuit te proizvođača softvera za povrat poreza TurboTax koji koriste milijuni ljudi u SAD-u.
Amazon je za New Scientist rekao da preporučuje korisnicima postavljanje provjere u dva koraka i da bi tvrtka mogla "zahtijevati dodatne izazove autentifikacije tijekom prijave" ako otkrije sigurnosni rizik. Glavni arhitekt Intuita Alex Balazs rekao je da će istražiti nalaze i istaknuo Intuitovu upotrebu višefaktorske provjere autentičnosti i otkrivanja prijevara. Ostale gore spomenute tvrtke nisu odgovorile na zahtjev New Scientista za komentar.
Primamljivo je zaključiti da tvrtke jednostavno ne mare za sigurnost korisnika, ali mislim da to nije u redu... dopuštanje hakiranja računa uopće nije u njihovom interesu, kaže Arvind Narayanan sa Sveučilišta Princeton.
Kako bi izvršili analizu web stranica na engleskom jeziku koje su razne internetske usluge rangirale kao popularne, Narayanan i njegovi kolege ručno su provjerili 40 zaporki na svakoj stranici. Koristeći zahtjeve za zaporkom svake stranice, odabrali su 20 zaporki iz randomiziranog uzorka od 100.000 najčešće korištenih zaporki pronađenih u kršenju podataka, zajedno s prvih 20 zaporki koje je pogodio alat za razbijanje zaporki.
Samo 15 web stranica prošlo sigurnosni test
Samo 15 web stranica blokiralo je svih 40 testiranih zaporki. To uključuje Google, Adobe, Twitch, GitHub i Grammarly.
Godine 2017., američki nacionalni institut za standarde i tehnologiju objavio je niz preporuka za web stranice koje treba slijediti, kao što je uključivanje mjerača snage koji potiču korisnike da stvaraju jače zaporke, održavanje popisa blokiranih zaporki koje su procurile i lako pogodne i dopuštanje samo zaporki koje su najmanje osam znakova.
Tek svaka šesta koristi mjerače snage zaporki
Samo 23 od 120 najpopularnijih web stranica koriste mjerače snage. Za usporedbu, 54 web-mjesta i dalje se oslanjaju na pravila sastavljanja lozinki koja imaju loše ocjene sigurnosti i upotrebljivosti, kao što je prisiljavanje korisnika da kreiraju složene zaporke s specifičnom mješavinom velikih i malih slova, brojeva i simbola. U međuvremenu, korisnici se mogu zaštititi tako što neće ponovno koristiti lozinke za svoje mrežne račune.
Definitivno smo očekivali da će više web stranica slijediti najbolje prakse, kaže član tima Kevin Lee, također sa Sveučilišta Princeton. Tim će rezultate predstaviti na simpoziju o korisnoj privatnosti i sigurnosti u kolovozu.
Istraživači i dalje nisu sigurni zašto toliko popularnih web stranica još uvijek ima lošu politiku zaporki. Jedna je mogućnost da bi organizacije radije trošile novac na druge sigurnosne mjere jer može biti teško izmjeriti učinak poboljšanja politika zaporki, kaže Sten Sjöberg, Microsoftov voditelj sigurnosnog programa koji je pridonio istraživanju dok je studirao na Sveučilištu Princeton.
Sigurnosno područje također može imati "malo problema sa začepljivanjem", kaže Michelle Mazurek sa Sveučilišta Maryland, koja nije bila uključena u istraživanje. “Nije lako vratiti zaštitu poput zahtijevanja čestih promjena zaporki, čak i kada je znanstveno dokazano da nije od koristi, jer nitko ne želi biti okrivljen ako nešto kasnije pođe po zlu.”
Izvor: New Scientist
