Ändern Sie Ihr Kennwort: Testen der Kennwortrichtlinien für Webdienste


    Bereits 2015 haben wir die Passwortrichtlinien der größten Webservices getestet, deren Ergebnisse hier vorgestellt wurden . Nach nunmehr 4 Jahren haben wir uns entschlossen, diese Studie zu aktualisieren und auszuweiten. In der Studie von 2019 haben wir 157 Dienstleistungen geprüft, die je nach Zweck in 14 Kategorien unterteilt sind. Wenn Sie daran interessiert sind, wie viele Ressourcen für Passwortrichtlinien wie Google Mail, Facebook, eBay, PayPal, Steam, Coinbase, DropBox, GitHub und viele andere geeignet sind, sind Sie bei der Katze herzlich willkommen!


    Damit sich Benutzer bei der Registrierung eines Kontos nicht auf die einfachsten Kennwörter beschränken können und sich daher nicht selbst angegriffen haben, gibt es Kennwortrichtlinien. Sie definieren die Anforderungen für die Länge von Passwörtern, die zulässigen und vorgeschriebenen Zeichenarten, den Komplexitätsgrad usw. Während der Studie haben wir herausgefunden, welche Kennwortrichtlinien für verschiedene Webdienste verwendet werden.


    Es sollte sofort bemerkt werden, dass Sie sich bei der Wahl Ihres Passworts nicht vollständig auf die Anforderungen von Webressourcen verlassen sollten. Die Studie hat gezeigt, dass Sie, selbst wenn Sie alle Empfehlungen befolgen, einige der gebräuchlichsten Wörterbuchkennwörter verwenden können.


    Forschungsmethodik


    Für die Analyse haben wir eine Reihe von Regeln festgelegt, die in Tabelle 1 dargestellt sind - eine Sammlung von Empfehlungen aus vielen Diensten, die nicht sehr beliebt sind.



    Der nächste Schritt bestand darin, den vorgeschlagenen Ressourcenbedarf anhand von Punkten zu bewerten. Für jeden Fehler, der schließlich zu einer "Abschwächung" des Passworts führen könnte, wurden Punkte abgezogen. Im Gegenteil, Dienstleistungen mit optimalen Empfehlungen haben verdient Punkte verdient. Je mehr Punkte, desto besser ist die Kennwortrichtlinie des Dienstes.


    Natürlich am schlimmsten, wenn die Regeln für die Erstellung von Passwörtern überhaupt nicht gelten und eine kleine Anzahl von Punkten hier nicht erklärungsbedürftig ist. Der Ansatz, bei dem der Dienst das Erstellen einer Kombination mit nicht mehr als 20 Zeichen oder das Verbot der Verwendung von Sonderzeichen erfordert, „schwächt“ jedoch auch die Kennwörter. In diesem Fall ist die Subtraktion von Punkten daher völlig gerechtfertigt.


    Zusätzlich zu diesen Regeln wurde bei 0,5 Punkten die Zwei-Faktor-Authentifizierung durch den Dienst hinzugefügt.



    Wir haben auch eine kleine Liste von Passwörtern zusammengestellt (siehe Tabelle 2), die diese Regeln teilweise erfüllen, sie sind jedoch auch Wörterbuch und werden häufig verwendet. Wenn sich der Dienst bei den vorgeschlagenen Kombinationen registrieren lässt, hat er Punkte verloren.



    Ein Wörterbuchangriff beschleunigt das Knacken von Passwörtern erheblich und erhöht die Wahrscheinlichkeit eines Brute-Force-Angriffs. Um zu testen, ob einfache Kennwörter festgelegt werden können, wurden Kennwörter aus mehreren bekannten Wörterbüchern ausgewählt:


    • Die 100 schlechtesten Kennwörter
    • Die 10.000 schlechtesten Passwörter
    • Das RockYou- Wörterbuch ist eines der beliebtesten Wörterbücher für Brute-Force. Dazu gehören Passwörter, die von der gehackten Site der Firma RockYou - einem Entwickler von Anwendungen für soziale Netzwerke - gestohlen wurden.

    Der Klarheit halber haben wir eine Reihe von "Errungenschaften" für die Mängel der Passwortrichtlinie hinzugefügt.


    Testen der Kennwortrichtlinien für Webdienste


    Als Ergebnis von Tests wurden 157 Ressourcen zu verschiedenen Zwecken analysiert. Die Liste der ausgewählten Kategorien wurde erweitert, die alten wurden hinzugefügt:


    • Hosting
    • Passwort-Manager
    • Nachrichtendienste
    • Ressourcen für die Unterhaltung
    • Blogs und Foren
    • Internet-Banking

    Vollständige Recherchen finden Sie unter dem Link .


    Wir werden uns sofort die Ergebnisse ansehen. In der nachstehenden Tabelle können Sie die Leiter und Außenseiter jeder Gruppe von Diensten finden und die Anzahl der erzielten Erfolge vergleichen. Wichtig ist jedoch, herauszufinden, wer sich mehr um die Sicherheit der Konten seiner Nutzer kümmert.



    Selbst die größten Dienste achten nicht immer auf den Schutz vor der Erstellung einfacher Kennwörter und somit der Sicherheit von Benutzerkonten. Nur wenige der beliebtesten Internet-Ressourcen stellen hohe Anforderungen an die Authentifizierung.


    Soziale Netzwerke


    Wir zeigen, wie wir Punkte am Beispiel sozialer Netzwerke betrachten. Die Score-Verteilungstabelle ist die folgende.




    Die endgültigen Ergebnisse in dieser Gruppe von Dienstleistungen.



    Die meisten der untersuchten Dienste erfordern ein Minimum an Kennwortanforderungen. Grundsätzlich gelten Einschränkungen nur für die Mindestlänge. Verglichen mit der vorherigen Studie sind die Passwörter diesmal "erwachsen" und bestehen aus mindestens 6-8 Zeichen. Es gibt jedoch noch keine Überprüfung der Vokabeln. Für soziale Netzwerke ist es immer noch egal, welches Passwort Sie verwenden. Daher haben wir alle 14 Servicegruppen ausgewertet. Was hat sich in den letzten Jahren verändert?


    In der Gesamtwertung sind die Postdienste weiterhin führend, was durchaus logisch und vernünftig ist, aber soziale Netzwerke verließen ihren zweiten Platz und rückten in die Mitte der Liste vor. E-Commerce-Dienste sind in der Rangliste sogar noch niedriger als zuvor.


    Mail-Dienste


    Wie vor 4 Jahren war die Pobox-Ressource ein Außenseiter unter den Mail-Diensten. Dem ProtonMail-Mail-Dienst wurde beigetreten, der keine Kennwortrichtlinien verwendet und die gesamte Verantwortung für die Kennwortsicherheit dem Benutzer auferlegt.



    Kryptowährungsdienste


    In der Gruppe der Kryptowährungsdienste verstärkten die zuvor in Bezug auf die Sicherheit zurückgebliebenen Dienste CEX.IO und BitPay ihre Richtlinien und nahmen nun mittlere Positionen ein.


    Internet-Banking


    Nur in der dritten Zeile des Rankings befanden sich Internet-Banking-Dienstleistungen. Es ist logisch anzunehmen, dass die Dienste dieser Kategorie die Sicherheit der Konten ihrer Benutzer genauer berücksichtigen. In Wirklichkeit stellte sich alles etwas anders heraus. Es stellte sich heraus, dass nicht bei allen Diensten ein Passwortabgleich mit Login oder Mail implementiert wurde. Es stellte sich auch heraus, die meisten Vokabeln zu verwenden. Einmalige SMS-Bestätigungscodes sind natürlich gut, aber nur, solange das Telefon in Ihren Händen ist. Im Allgemeinen ist das Qualitätsniveau der Kennwortrichtlinien in den untersuchten Diensten mit Kennwortmanagern oder Kryptowährungsdiensten vergleichbar.


    Zahlungsdienste


    In der Gruppe der WebMoney-Zahlungsdienste in den letzten Jahren ist sie von der führenden Position an das Ende der Liste gerückt. Nahezu jeder Dienst gibt eine Vielzahl von Empfehlungen für die Wahl eines Passworts. Natürlich blockieren sie die einfachsten Kennwörter, aber dieses Sicherheitsniveau ist im Zusammenhang mit solchen Diensten nicht akzeptabel.



    Gaming-Dienstleistungen


    Die Spieldienste begannen, sich besser mit den Passwortrichtlinien zu beschäftigen. Dies verhindert zwar nicht, dass Spielerkonten ständig in den Datenbanken der durchgesickerten Daten angezeigt werden. Auf der PlayStation Network-Seite tauchte eine interessante Bedingung auf - das Verbot des Duplikats und das Auffinden von Zeichen auf der Tastatur. Ein paar Vokabeln konnten jedoch immer noch installiert werden.



    Cloud-Dateispeicherung


    Diese Dienste sind nützlich, um von überall auf der Welt, wo Zugang zum Netzwerk besteht, Zugriff auf Daten zu gewähren. Die Sicherheit wird jedoch in der Regel für den Komfort geopfert. Es besteht auch die Tendenz, dem Benutzer die Freiheit zu geben, ein Passwort zu wählen.



    Hosting


    Fälle in Bezug auf Passwortrichtlinien der Hosts sind leider überhaupt nicht rosig. Von allen untersuchten Diensten hatten nur zwei Anforderungen an ein Benutzerpasswort. Darüber hinaus filtern nur DigitalOcean und Vscale Vokabularkennwörter.


    Ressourcen für die Unterhaltung


    Unterhaltungskennwortrichtlinien sind ebenfalls nicht glaubwürdig. Nur ein Dienst "überwand die Armutsgrenze" in unserem Punktesystem. Alle anderen untersuchten Dienste erlaubten die Verwendung von Wörterbuchkennwörtern und führten keine Überprüfung der einzustellenden Kennwörter durch. Trotzdem war es schön, die Möglichkeit der Zwei-Faktor-Authentifizierung für einige Ressourcen kennen zu lernen.



    Blogs und Foren


    Blogs und Foren sind nicht weit entfernt - sie stellen unangemessen wenige Anforderungen an Benutzerkennwörter und haben sie nicht geprüft. Dieser Sachverhalt in den untersuchten Diensten kann durch den Wunsch begründet werden, die Nutzer nicht mit einem großen Regelwerk abzuschrecken. Auf der Suche nach Beliebtheit wird die Sicherheit in den Hintergrund gedrängt. Und wir haben Habr nicht vermieden - wir haben seine Passwortrichtlinien ehrlich überprüft, die Ergebnisse waren überhaupt nicht beeindruckend: Es gibt keine Prüfung auf übereinstimmende Passwörter mit Login- oder Wörterbuchpasswörtern, keine Empfehlungen zu den verwendeten Symbolen.


    Schlussfolgerungen


    Das Bild bleibt dasselbe: Die Verwendung eines sicheren Kennworts ist immer noch eine private Initiative. Nur wenige der beliebtesten Internet-Ressourcen stellen hohe Anforderungen an die Authentifizierung. Eine solche Einstellung zur sicheren Authentifizierung kann durch das Streben nach Diensten für das Publikum erklärt werden. Hier muss der „goldene Mittelwert“ gewählt werden: Zu komplexe Regeln zwingen Sie dazu, wesentlich mehr Zeit für die Registrierung aufzuwenden, was den Benutzer abschrecken kann. Andererseits führt das vollständige Fehlen von Richtlinien notwendigerweise zum Auftreten von Sicherheitsvorfällen.


    Unabhängig davon, wie sehr die Serviceentwickler versuchen, wenn ihm der Schutz des Benutzers nicht wichtig ist, wird ihm niemand helfen. Den vollständigen Text der Studie finden Sie hier .


    Jetzt auch beliebt: