인기 웹 사이트의 비밀번호 정책으로 소비자 노출

올해 초 Heartbleed 버그가 밝혀진 후 웹 사이트 관리자는 사기꾼이 보안 서버에서 메모리 청크를 캡처 할 수있는 취약한 구성 요소를 패치하기 위해 출격했습니다. 이러한 청크는 사용자 이름과 비밀번호를 쉽게 포함 할 수 있으므로 많은 사이트에서 수정 후 비밀번호를 업데이트하도록 사용자에게 알 렸습니다. 그러나 인기있는 Dashlane 암호 관리자 제조업체의 보안 보고서에 따르면 대부분의 사이트는 자체 암호 정책에 대해 더 많은 작업을 수행하고 있습니다.

테스트 방법론

Dashlane의 연구원은 80 개가 넘는 인기 웹 사이트의 비밀번호 정책을 분석하여 보안을 개선하는 정책에 대한 점수를 제공하고 위험한 정책에 대한 포인트를 공제합니다. 예를 들어, 비밀번호 변경 후 확인 이메일을 보내는 사이트는 10 포인트를 얻지 만 알림에 비밀번호가 일반 텍스트로 포함 된 사이트는 30 포인트를 잃습니다. 3 자 이하의 암호를 허용하는 사이트는 5 점을 잃습니다. 8 자 이상이 필요한 문자는 20 점을 얻습니다.

가능한 점수 범위는 완벽한 100 점에서 최저 -100 점까지입니다. Dashlane은 50 점 이상을 획득 한 사이트는 합리적으로 안전한 것으로 간주합니다. 조사 대상 사이트 중 14 %만이이 위업을 관리했으며 53 %는 마이너스 점수를 받았습니다.

잘못된 비밀번호

사이트의 비밀번호 정책으로 더 나은 결과를 얻지 않는 한 많은 사람들이 여전히 "password", "123456"및 "qwerty"와 같은 끔찍한 비밀번호를 사용합니다. Dashlane은 최악의 범죄자 10 명을 파악하고 허용 된 각 사이트에 대해 2.5 점씩 각 사이트를 징계했습니다. 사이트의 40 % 이상이 10 개를 모두 수락했습니다. 소수가 거의 모든 것을 차단했지만 "abc123"에 넘어졌습니다.

1800Flowers.com, Fab.com 및 Match.com은 하나의 고독한 문자만큼 짧은 암호를 받아 들일 수 밖에 없습니다. BestBuy.com은 10 개 이상의 문자가 필요한 유일한 사이트입니다.

최고와 최악

Apple의 웹 사이트 만이 100 점 만점을 받았습니다. Microsoft의 Windows Live는 85 점을, UPS와 Microsoft Store는 75 점을 얻었습니다. Target과 Kaspersky Lab은 70 점을 관리했습니다. 이는 카스퍼 스키 웹 사이트의 비밀번호 정책과 관련이 있으며 회사의 보안 소프트웨어와는 아무런 관련이 없습니다.

사랑을 찾고 있나요? 다른 사이트에서는 Match.com 비밀번호를 사용하지 않기를 바랍니다. -70 포인트로 Match.com은 테스트 한 모든 사이트 중 가장 낮은 점수를 관리했습니다. Hulu와 Overstock은 -55 점을, Fab는 -50 점을 얻었으며, US Airways와 Amazon을 포함한 소수의 사이트는 -45 점을 얻었습니다.

테스트를 거친 모든 사이트의 평균 점수는 0 미만의 머리카락에 불과했지만 범주 별 평균은 크게 다릅니다. 데이트, 여행 및 보안은 각각 평균 ​​-23, -17 및 -5 포인트입니다. 전자 상거래, 소셜 유틸리티 및 생산성 유틸리티는 각각 3, 12 및 13 점의 긍정적 인 점수를 관리했습니다. (안녕하세요, 보안 회사; 귀하의 웹 사이트에서 작업하십시오!)

정책이 비밀번호에 영향을 미침

아마도 가장 흥미로운 결과는 각 사이트의 평균 암호 강도와 암호 정책 점수를 상호 참조하여 얻은 것입니다. 사용자의 권한으로 Dashlane은 각 사용자의 암호 강도에 대한 비 개인 데이터를 수집하고 수집합니다. (비밀번호 자체가 아니라 강도 등급 만 해당) 놀랍지 않게 두 점수 간에는 강한 상관 관계가 있습니다.

www.dashlane.com/securityroundup에서 낮은 점수를받은 사이트에 대한 테스트 방법론 및 Dashlane의 조언에 대한 자세한 내용을 포함한 전체 보고서를 볼 수 있습니다. 더 큰 이미지를 보려면 아래 인포 그래픽을 클릭하십시오.