اکثر وب‌سایت‌های بزرگ و معروف امنیت پسورد خوبی ندارند!

پسوردها برای حفظ امنیت کاربران در فضای مجازی بسیار مهم و حیاتی هستند، اما در عین‌ حال اگر کاربران در هنگام انتخاب رمزعبور خود دقت نکنند یا کسب‌وکارهای آنلاین نتوانند آن‌ها را به‌ خوبی مدیریت و ذخیره کنند، حریم خصوصی کاربران به سهولت می‌تواند مورد سوء‌استفاده قرار گیرد.

کمپانی DasheLane که سازندهٔ پسورد منیجری به همین نام است، به بررسی امنیت پسورهای انتخابی کاربران پرداخت و نکته اینجا است که نتایج به‌ دست آمده توسط این بررسی بسیار شوکه‌کننده بودند به طوری که تقریباً نیمی (اگر بخواهیم دقیق باشیم ۴۶٪) از کسب‌وکارهای مطرح آنلاین در اجرای ابتدایی‌ترین سیاست‌های امنیت پسورد موفق عمل نکرده‌اند که این مقوله در مورد ۳۶٪ از سایت‌های سازمانی هم صدق کرده و گفتنی است که با شگفتی تمام، سرویس AWS آمازون هم جزو این گروه قرار داشت!

شیوهٔ امتیازدهی به سایت‌ها
در این بررسی به وب‌سایت‌ها از ۰ تا ۵ امتیازدهی شد که در واقع ۰ بدترین امتیاز، ۵ بهترین امتیاز و ۳ امتیازی متوسط و قابل‌قبول بود. همچنین این کمپانی در رتبه‌بندی سایت‌ها چند معیار مختلف را مد نظر قرار داد که عبارتند از:

- طول پسورد: آیا وب‌سایت بیش از ۸ کاراکتر بودن پسوردها را الزامی کرده‌ است؟
- پیچیدگی پسورد:‌ آیا سایت از ایجاد پسوردهایی مانند «aaaa» یا «1111» توسط کاربران ممانعت به‌ عمل می‌آورد؟
- ارزیابی قدرت پسورد: آیا سایت به کاربر نشان می‌دهد که پسوردش چقدر قدرتمند است؟
- جلوگیری از بروت‌فورس: پس از اینکه چند بار پسورد اشتباه زده شد، آیا سایت با قفل کردن اکانت یا نشان دادن کپچا برای مقابله با حملاتی از جمله Brute Force عکس‌العمل نشان می‌دهد؟
- تأیید دومرحله‌ای ورود به حساب: آیا سایت از کاربر می‌خواهد که با استفاده از توکنی که توسط SMS برایش ارسال می‌شود، هویت خود را تأیید کند؟

جالب است بدانید که در این میان فقط یک سایت نمرهٔ کامل گرفت که آن هم GoDaddy بود (این شرکت یک پلتفرم محبوب است که خدمات ثبت دامنه و هاستینگ وب ارائه می‌دهد.) از میان سایت‌های دیگری که نمرهٔ قبولی گرفتند نیز می‌توان به Apple ،Microsoft ،Tumblr ،PayPal ،Reddit و Slack اشاره کرد که متاًسفانه و در کمال تعجب سایت‌هایی مثل Netflix ،Spotify و Uber همه در این بررسی نمرهٔ ۰ گرفتند و همان‌طور که گفتیم این امتیاز بدان معنا است که این دست وب‌سایت‌ها تمامی پنج ویژگی امنیتی پایه‌ای پسوردها که در بالا ذکر شد را اجرا و اعمال نکرده‌اند.

از طرفی دیگر اوضاع در مورد وب‌سایت‌های سازمانی کمی بهتر بود چرا که وب‌سایتی همچون Stripe نمرهٔ کاملی گرفت و نمرهٔ هیچ شرکتی ۰ نشد اما با این حال سرویس AWS آمازون در این میان کمترین نمره، یعنی ۱ از ۵ گرفت (برای آشنایی بیشتر با Stripe، به مقالهٔ Stripe پلتفرمی برای پرداخت درون اپلیکیشنی مراجعه نمایید.)

متاًسفانه بررسی‌هایی مانند این هیچ‌گاه نمی‌توانند پرده از نحوهٔ امن کردن پسوردها توسط وب‌سایت‌های گوناگون بردارند. به عبارتی، اگر پسورد شما به‌ صورت اصطلاحاً Plain Text ذخیره شده باشد، دیگر تأیید دو مرحله‌ای ورود به حساب هم نمی‌تواند جلوی یک هکر را برای هک کردن اطلاعات شما بگیرد و با این اوصاف به‌ نظر نمی‌رسد که کمپانی‌ها بخواهند شما را به‌ طور دقیق در جریان کارکردهای امنیتی برنامه‌های خودشان بگذارند!