Berta Sándor

Sok platform megelégszik a gyenge jelszavakkal

A jelentős oldalak és szolgáltatások egy része nem követeli meg az hosszú jelszavak alkalmazását a felhasználóktól.

A Dashlane nevű amerikai vállalat a vizsgálatában kimutatta, hogy a jelszóbiztonság tekintetében a 43 vizsgált webes szolgáltató közel fele kudarcot vallott. A legtöbb platform megtehetné, hogy erősebb jelszavak használatát javasolja a regisztrált tagjainak, de ezzel a lehetőséggel nem sok cég él. Sokkal jellemzőbb a teljesen egyszerű és ezáltal könnyen feltörhető jelszavak engedélyezése.

A Dashlane adatai alapján a lehetséges 5 pontból 1, illetve 2 pontot kapott a Dropbox, az Evernote, az Instagram, a Macy's, a Pintereset, a SoundCloud, a Walmart, az Amazon, az eBay, a LinkedIn, a Starbucks, a Twitter és a Venmo. Teljesen megbukott a vizsgálat során a Netflix, a Pandora, a Spotify és az Uber. mert egyetlen tesztkövetelménynek sem feleltek meg.

A minimális követelményeknek a 43 legnépszerűbb honlap és szolgáltatás 48,8 százaléka nem felelt meg. Az összes lehetséges pontot csupán egyetlen vállalat, a GoDaddy gyűjtötte össze. 4 pontot ért el az Apple, a Best Buy, a The Home Depot, a Microsoft/Live/Outlook, a PayPal, a Skype, a Toys "R" Us és a Tumblr. A 3 pontos kategóriába került az Airbnb, a Facebook, a Google, a Reddit, a Slack, a Snapchat, a Staples, a Target, a Twitch, a Wordpress és a Yahoo!

A tesztkövetelmények egyébként a következők voltak: egy pontot ért, ha az adott oldal legalább 8 írásjelből álló jelszót kért, ha kevesebbel megelégedett, nem kapott pontot; 1 pont volt az is, ha változatos (betűkből, számokból, különleges írásjelekből álló) jelszavakat lehetett kreálni, amennyiben csak betűből vagy számból álló jelszavakat lehetett létrehozni az 0 pontot eredményezett; egy pontot ért, ha színekkel jelölték, hogy a megadott jelszó erős vagy gyenge; további egy pontot, ha a jelszavak lekérdezése védett volt az úgynevezett brute force-támadásokkal szemben, de 0 pontot, ha több mint 10 jelszómegadási kísérletre kerülhetett sor; a kétlépcsős azonosítás lehetőségét szintén 1 ponttal jutalmazták. Az a platform teljesítette a tesztet, amely legalább 3 pontot elért.

A tesztelők azt nem vizsgálták meg, hogy a jelszavakat mennyire biztonságosan tárolják az adott szolgáltató szerverein, például titkosítva vannak-e. Emellett nem figyeltek arra sem, hogy biztosítva van-e a jelszavak biztonságos, HTTPS szabványon keresztüli továbbítása.

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • ZenMillitia #5
    Nagyon helyes en elvbol nem regisztralok olyan helyeken, ahol burokratikus rohadek modjara probalnak megeroszakolni azzal mit hova es hogyan irjak. Majd en eldontom hogy nekem mennyire fontos a biztonsag. Semmi kozotok hozza.
  • morguldae #4
    A legidegesítőbb dolog, amikor megmondják, hogy milyen karakterek legyenek kötelezően a jelszavamba. És ha nincs nem is enged regisztrálni. Ahol ilyesmi van oda a legtöbbször inkább nem is regisztrálok! Majd én tudom milyen jelszót akarok használni! Ne mondja már meg nekem senki mit akarjak!
  • Fionn #3
    +1
    https://imgs.xkcd.com/comics/password_strength.png
  • Fionn #2
    A másik oldalon figyelembe véve a mostani bkk szarozást lehet nem ártott volna erősen pontozni a tárolás mikéntjét is, hiszen a balfaszkodás nem csak nálunk megy.
  • felemelő #1
    Az MS-nek volt egy egész jó kis tanulmánya, amit nyilvánosságra hoztak, aminek a végkövetkeztetése az volt, hogy a nagyon szigorú jelszó szabályok esetén sokkal több a könnyen kitalálható jelszó és a több honlapon is használt egyen jelszó. Valamint a nem fejben, hanem valamilyen leírt formában megtaláható jelszó, stb.

    Vagyis egy határon túl a jelszó szigorítása kontraproduktív, nemhogy biztonságosabb rendszereket eredményezne, de egyenesen biztonsági réseket hoz létre.