Почему ведущие веб-сайты не требуют создавать для доступа надежные пароли
Три четверти самых популярных в мире англоязычных веб-сайтов по-прежнему позволяют людям выбирать наиболее распространенные пароли, такие как «abc123456» и «P@$$w0rd», пишет 27 июня журнал New Scientist.
Более половины из 120 сайтов с самым высоким рейтингом также допускают применение всех 40 наиболее «утекающих» и легко угадываемых паролей. Среди них популярные торговые порталы Amazon и Walmart, приложение для социальных сетей TikTok, сайт потокового видео Netflix и компания Intuit, создателя программного обеспечения для налоговых деклараций TurboTax, которым пользуются миллионы людей в США.
Amazon сообщила New Scientist, что рекомендует пользователям настроить двухэтапную проверку и что компания может «потребовать дополнительных проблем с аутентификацией при входе в систему», если обнаружит угрозу безопасности. Главный разработчик Intuit Алекс Балазс сказал, что он изучит представленные NS данные, но подчеркнул, что компания использует многофакторную аутентификацию и средства обнаружения мошенничества. Другие упомянутые компании не ответили на запрос New Scientist о комментариях.
«Напрашивается вывод, что компании просто не заботятся о безопасности пользователей, но я не думаю, что это правильно… позволять взламывать аккаунты совсем не в их интересах», — говорит профессор Арвинд Нараянан из Принстонского университета.
Чтобы провести анализ ситуации на англоязычных веб-сайтах, признанных «популярными» по градации различных интернет-сервисов, Нараянан и его коллеги вручную проверили 40 паролей на каждом из них. Используя требования к паролям каждого сайта по рандомизированной выборке из 100 000 наиболее часто используемых, они выбрали 20, чаще всего обнаруживаемых при утечках данных, а также первые 20 паролей, угаданных с помощью инструмента для их взлома.
Только 15 веб-сайтов заблокировали все 40 проверенных паролей. К ним относились Google, Adobe, Twitch, GitHub и Grammarly.
В 2017 году в интересах повышения безопасности Национальный институт стандартов и технологий США опубликовал ряд рекомендаций для веб-сайтов, в частности, создание индикаторов надежности, ведение списков блокировки «утекших» и легко угадываемых паролей и запрет на регистрацию таких, которые состоят менее чем из восьми символов.
Но только 23 из 120 самых популярных веб-сайтов используют индикаторы надежности, отмечает NS. Для сравнения, 54 сайта по прежнему допускают практику создания паролей, не требующую от пользователей придумывать сложные комбинации с определенным сочетанием прописных и строчных букв, цифр и символов.
Исследователи не могут найти ответ, почему так много популярных веб-сайтов по-прежнему придерживаются устаревшей практики разработки паролей. Одна из версий состоит в том, что организации предпочитают тратить деньги на другие меры защиты, поскольку им трудно измерить, как влияют усовершенствования в этой сфере на общее состояние безопасности.