پسوردها برای حفظ امنیت کاربران در فضای مجازی بسیار مهم و حیاتی هستند، اما در عین حال اگر کاربران در هنگام انتخاب رمزعبور خود دقت نکنند یا کسبوکارهای آنلاین نتوانند آنها را به خوبی مدیریت و ذخیره کنند، حریم خصوصی کاربران به سهولت میتواند مورد سوءاستفاده قرار گیرد.
کمپانی DasheLane که سازندهٔ پسورد منیجری به همین نام است، به بررسی امنیت پسورهای انتخابی کاربران پرداخت و نکته اینجا است که نتایج به دست آمده توسط این بررسی بسیار شوکهکننده بودند به طوری که تقریباً نیمی (اگر بخواهیم دقیق باشیم ۴۶٪) از کسبوکارهای مطرح آنلاین در اجرای ابتداییترین سیاستهای امنیت پسورد موفق عمل نکردهاند که این مقوله در مورد ۳۶٪ از سایتهای سازمانی هم صدق کرده و گفتنی است که با شگفتی تمام، سرویس AWS آمازون هم جزو این گروه قرار داشت!
شیوهٔ امتیازدهی به سایتها
در این بررسی به وبسایتها از ۰ تا ۵ امتیازدهی شد که در واقع ۰ بدترین امتیاز، ۵ بهترین امتیاز و ۳ امتیازی متوسط و قابلقبول بود. همچنین این کمپانی در رتبهبندی سایتها چند معیار مختلف را مد نظر قرار داد که عبارتند از:
- طول پسورد: آیا وبسایت بیش از ۸ کاراکتر بودن پسوردها را الزامی کرده است؟
- پیچیدگی پسورد: آیا سایت از ایجاد پسوردهایی مانند «aaaa» یا «1111» توسط کاربران ممانعت به عمل میآورد؟
- ارزیابی قدرت پسورد: آیا سایت به کاربر نشان میدهد که پسوردش چقدر قدرتمند است؟
- جلوگیری از بروتفورس: پس از اینکه چند بار پسورد اشتباه زده شد، آیا سایت با قفل کردن اکانت یا نشان دادن کپچا برای مقابله با حملاتی از جمله Brute Force عکسالعمل نشان میدهد؟
- تأیید دومرحلهای ورود به حساب: آیا سایت از کاربر میخواهد که با استفاده از توکنی که توسط SMS برایش ارسال میشود، هویت خود را تأیید کند؟
جالب است بدانید که در این میان فقط یک سایت نمرهٔ کامل گرفت که آن هم GoDaddy بود (این شرکت یک پلتفرم محبوب است که خدمات ثبت دامنه و هاستینگ وب ارائه میدهد.) از میان سایتهای دیگری که نمرهٔ قبولی گرفتند نیز میتوان به Apple ،Microsoft ،Tumblr ،PayPal ،Reddit و Slack اشاره کرد که متاًسفانه و در کمال تعجب سایتهایی مثل Netflix ،Spotify و Uber همه در این بررسی نمرهٔ ۰ گرفتند و همانطور که گفتیم این امتیاز بدان معنا است که این دست وبسایتها تمامی پنج ویژگی امنیتی پایهای پسوردها که در بالا ذکر شد را اجرا و اعمال نکردهاند.
از طرفی دیگر اوضاع در مورد وبسایتهای سازمانی کمی بهتر بود چرا که وبسایتی همچون Stripe نمرهٔ کاملی گرفت و نمرهٔ هیچ شرکتی ۰ نشد اما با این حال سرویس AWS آمازون در این میان کمترین نمره، یعنی ۱ از ۵ گرفت (برای آشنایی بیشتر با Stripe، به مقالهٔ Stripe پلتفرمی برای پرداخت درون اپلیکیشنی مراجعه نمایید.)
متاًسفانه بررسیهایی مانند این هیچگاه نمیتوانند پرده از نحوهٔ امن کردن پسوردها توسط وبسایتهای گوناگون بردارند. به عبارتی، اگر پسورد شما به صورت اصطلاحاً Plain Text ذخیره شده باشد، دیگر تأیید دو مرحلهای ورود به حساب هم نمیتواند جلوی یک هکر را برای هک کردن اطلاعات شما بگیرد و با این اوصاف به نظر نمیرسد که کمپانیها بخواهند شما را به طور دقیق در جریان کارکردهای امنیتی برنامههای خودشان بگذارند!