اکثر وب‌سایت‌های بزرگ و معروف امنیت پسورد فاجعه‌ای دارند!

اکثر وب‌سایت‌های بزرگ و معروف امنیت پسورد فاجعه‌ای دارند!

پسوردها برای حفظ امنیت اکانت کاربران بسیار مهم و حیاتی هستند، اما درعین‌حال اگر کاربران در هنگام انتخاب پسورد خود دقت نکنند یا وب‌سایت‌ها نتوانند آن‌ها را به‌خوبی مدیریت و ذخیره کنند، می‌توان از پسوردها به‌راحتی سوء‌استفاده کرد!

کمپانی DasheLane -که سازندهٔ پسورد منیجری به همین نام است- اخیراً مقاله‌ای را تحت‌عنوان Password Power Ranking (رتبه‌بندی قدرت پسوردها) منتشر کرده‌ است؛ این مقاله به بررسی امنیت پسورهای عمدهٔ کاربران، SaaSهای شرکتی (SaaS مخفف واژگان Software as a Service) و خدمات رسانه‌ای پرداخته و نکته اینجا است که نتایج به‌دست آمده توسط این بررسی بسیار شوکه‌کننده است!

تقریباً نیمی (اگر بخواهیم دقیق باشیم ۴۶٪) از وب‌سایت‌های داینامیک در اجرای ابتدایی‌ترین سیاست‌های امنیت پسورد موفق نبوده‌اند؛ این موضوع در مورد ۳۶٪ از سایت‌های سازمانی هم صدق کرده و گفتنی است که با شگفتی تمام، سرویس AWS آمازون هم جزو این ۳۶٪ است!

در این بررسی به وبسایت‌ها از ۰ تا ۵ امتیازدهی شده است که درواقع ۰ بدترین امتیاز، ۵ بهترین امتیاز و ۳ امتیازی متوسط و قابل‌قبول است؛ DashLane در رتبه‌بندی سایت‌ها، ۵ معیار مختلف را تحت‌نظر و بررسی قرار داده‌ است که عبارتند از:

- طول پسورد: آیا وب‌سایت بیش از ۸ کاراکتر بودن پسوردها را الزامی کرده‌ است؟

- پیچیدگی پسورد:‌ آیا سایت از ایجاد پسوردهایی مانند «aaaa» یا «1111» توسط کاربران ممانعت به‌عمل می‌آورد؟ به‌طرز شگفت‌انگیزی محققین در این بررسی توانستند به‌راحتی و فقط بااستفاده از حرف a کوچک در وب‌سایت‌های آمازون، گوگل و اینستاگرام پسورد درست کنند.

- ارزیابی قدرت پسورد: آیا سایت به کاربر نشان می‌دهد که پسوردش چقدر قدرتمند است؟

- جلوگیری از بروت فورس: بعد از این‌که ۱۰ بار پسورد اشتباه زده شد، آیا سایت با قفل کردن اکانت یا ارائه و نشان دادن CAPTCHA (حروف درهمی که بعضی‌اوقات برای تشخیص روبات از انسان استفاده می‌شود) برای مقابله با حملاتی از جمله Brute Force عکس‌العمل نشان می‌دهد؟

- تأیید دومرحله‌ای (Two Factor Authentication) ورود به حساب: آیا سایت از کاربر می‌خواهد که بااستفاده از توکنی که توسط SMS برایش ارسال می‌شود، هویت خود را تأیید کند؟

درمیان سایت‌های داینامیک، فقط یک سایت نمرهٔ کامل گرفت که آن هم GoDaddy بود؛ گوددی یک پلتفرم محبوب است که بیشتر خدمات ثبت دامنه و هاستینگ وب ارائه می‌دهد. از میان سایت‌های دیگری که نمرهٔ قبولی -یعنی همان ۳ را- گرفتند می‌توان به Apple ،Microsoft ،Tumblr ،PayPal ،Reddit و Slack اشاره کرد.

متاًسفانه و در کمال تعجب، سایت‌هایی مثل Netflix ،Spotify و Uber همه در این بررسی نمرهٔ ردی ۰ گرفتند و همان‌طور که می‌دانید نمرهٔ صفر یعنی این‌که این وب‌سایت‌ها هر ۵ ویژگی امنیتی پایهٔ پسوردها که در بالا ذکر شد را اجرا و اعمال نکرده‌اند.

از طرفی دیگر اوضاع درمورد وب‌سایت‌های سازمانی کمی بهتر است چراکه وب‌سایتی همچون Stripe نمرهٔ کاملی گرفت و نمرهٔ هیچ شرکتی ۰ نشد؛ اما با این حال سرویس AWS آمازون در این میان کمترین نمره، یعنی ۱ از ۵ گرفته است (برای آشنایی بیشتر با Stripe، به مقالهٔ Stripe پلتفرمی برای پرداخت درون اپلیکیشنی مراجعه نمایید).

متاًسفانه بررسی‌هایی مانند این هیچ‌گاه نمی‌توانند پرده از نحوهٔ امن کردن پسوردها توسط وب‌سایت‌های گوناگون بردارند؛ اگر پسورد شما به‌صورت Plain Text ذخیره شده باشد، دیگر تأیید ۲ مرحله‌ای ورود به حساب هم نمی‌تواند جلوی یک هکر را برای هک کردن اطلاعات شما بگیرد و با این اوصاف به‌نظر نمی‌رسد که کمپانی‌ها بخواهند شما را به‌طور دقیق در جریان کارکردهای امنیتی برنامه‌های خودشان بگذارند!

منبع


نهال سهیلی‌فر