Berta Sándor
Sok platform megelégszik a gyenge jelszavakkal
A jelentős oldalak és szolgáltatások egy része nem követeli meg az hosszú jelszavak alkalmazását a felhasználóktól.
A Dashlane nevű amerikai vállalat a vizsgálatában kimutatta, hogy a jelszóbiztonság tekintetében a 43 vizsgált webes szolgáltató közel fele kudarcot vallott. A legtöbb platform megtehetné, hogy erősebb jelszavak használatát javasolja a regisztrált tagjainak, de ezzel a lehetőséggel nem sok cég él. Sokkal jellemzőbb a teljesen egyszerű és ezáltal könnyen feltörhető jelszavak engedélyezése.
A Dashlane adatai alapján a lehetséges 5 pontból 1, illetve 2 pontot kapott a Dropbox, az Evernote, az Instagram, a Macy's, a Pintereset, a SoundCloud, a Walmart, az Amazon, az eBay, a LinkedIn, a Starbucks, a Twitter és a Venmo. Teljesen megbukott a vizsgálat során a Netflix, a Pandora, a Spotify és az Uber. mert egyetlen tesztkövetelménynek sem feleltek meg.
A minimális követelményeknek a 43 legnépszerűbb honlap és szolgáltatás 48,8 százaléka nem felelt meg. Az összes lehetséges pontot csupán egyetlen vállalat, a GoDaddy gyűjtötte össze. 4 pontot ért el az Apple, a Best Buy, a The Home Depot, a Microsoft/Live/Outlook, a PayPal, a Skype, a Toys "R" Us és a Tumblr. A 3 pontos kategóriába került az Airbnb, a Facebook, a Google, a Reddit, a Slack, a Snapchat, a Staples, a Target, a Twitch, a Wordpress és a Yahoo!
A tesztkövetelmények egyébként a következők voltak: egy pontot ért, ha az adott oldal legalább 8 írásjelből álló jelszót kért, ha kevesebbel megelégedett, nem kapott pontot; 1 pont volt az is, ha változatos (betűkből, számokból, különleges írásjelekből álló) jelszavakat lehetett kreálni, amennyiben csak betűből vagy számból álló jelszavakat lehetett létrehozni az 0 pontot eredményezett; egy pontot ért, ha színekkel jelölték, hogy a megadott jelszó erős vagy gyenge; további egy pontot, ha a jelszavak lekérdezése védett volt az úgynevezett brute force-támadásokkal szemben, de 0 pontot, ha több mint 10 jelszómegadási kísérletre kerülhetett sor; a kétlépcsős azonosítás lehetőségét szintén 1 ponttal jutalmazták. Az a platform teljesítette a tesztet, amely legalább 3 pontot elért.
A tesztelők azt nem vizsgálták meg, hogy a jelszavakat mennyire biztonságosan tárolják az adott szolgáltató szerverein, például titkosítva vannak-e. Emellett nem figyeltek arra sem, hogy biztosítva van-e a jelszavak biztonságos, HTTPS szabványon keresztüli továbbítása.
A Dashlane nevű amerikai vállalat a vizsgálatában kimutatta, hogy a jelszóbiztonság tekintetében a 43 vizsgált webes szolgáltató közel fele kudarcot vallott. A legtöbb platform megtehetné, hogy erősebb jelszavak használatát javasolja a regisztrált tagjainak, de ezzel a lehetőséggel nem sok cég él. Sokkal jellemzőbb a teljesen egyszerű és ezáltal könnyen feltörhető jelszavak engedélyezése.
A Dashlane adatai alapján a lehetséges 5 pontból 1, illetve 2 pontot kapott a Dropbox, az Evernote, az Instagram, a Macy's, a Pintereset, a SoundCloud, a Walmart, az Amazon, az eBay, a LinkedIn, a Starbucks, a Twitter és a Venmo. Teljesen megbukott a vizsgálat során a Netflix, a Pandora, a Spotify és az Uber. mert egyetlen tesztkövetelménynek sem feleltek meg.
A minimális követelményeknek a 43 legnépszerűbb honlap és szolgáltatás 48,8 százaléka nem felelt meg. Az összes lehetséges pontot csupán egyetlen vállalat, a GoDaddy gyűjtötte össze. 4 pontot ért el az Apple, a Best Buy, a The Home Depot, a Microsoft/Live/Outlook, a PayPal, a Skype, a Toys "R" Us és a Tumblr. A 3 pontos kategóriába került az Airbnb, a Facebook, a Google, a Reddit, a Slack, a Snapchat, a Staples, a Target, a Twitch, a Wordpress és a Yahoo!
A tesztkövetelmények egyébként a következők voltak: egy pontot ért, ha az adott oldal legalább 8 írásjelből álló jelszót kért, ha kevesebbel megelégedett, nem kapott pontot; 1 pont volt az is, ha változatos (betűkből, számokból, különleges írásjelekből álló) jelszavakat lehetett kreálni, amennyiben csak betűből vagy számból álló jelszavakat lehetett létrehozni az 0 pontot eredményezett; egy pontot ért, ha színekkel jelölték, hogy a megadott jelszó erős vagy gyenge; további egy pontot, ha a jelszavak lekérdezése védett volt az úgynevezett brute force-támadásokkal szemben, de 0 pontot, ha több mint 10 jelszómegadási kísérletre kerülhetett sor; a kétlépcsős azonosítás lehetőségét szintén 1 ponttal jutalmazták. Az a platform teljesítette a tesztet, amely legalább 3 pontot elért.
A tesztelők azt nem vizsgálták meg, hogy a jelszavakat mennyire biztonságosan tárolják az adott szolgáltató szerverein, például titkosítva vannak-e. Emellett nem figyeltek arra sem, hogy biztosítva van-e a jelszavak biztonságos, HTTPS szabványon keresztüli továbbítása.