Video: Come vedere le password salvate dei siti web (Novembre 2024)
Dopo che il bug Heartbleed è emerso all'inizio di quest'anno, gli amministratori del sito Web si sono affrettati a correggere il componente vulnerabile che ha permesso ai criminali di catturare blocchi di memoria da server sicuri. Poiché tali blocchi potrebbero facilmente includere nomi utente e password, molti siti hanno avvisato gli utenti di aggiornare le loro password dopo la correzione. Tuttavia, un rapporto sulla sicurezza dei creatori del famoso gestore di password Dashlane rivela che la maggior parte dei siti ha molto più lavoro da fare sulle proprie politiche di password.
Metodologia di prova
I ricercatori di Dashlane hanno analizzato le politiche sulle password di oltre 80 siti Web popolari, assegnando punti per le politiche che migliorano la sicurezza e deducendo punti per le politiche rischiose. Ad esempio, un sito che invia un'e-mail di conferma dopo la modifica della password guadagna 10 punti, ma un sito la cui notifica include la password in testo normale perde 30 punti. Un sito che accetta password di tre caratteri o più brevi perde 5 punti; uno che richiede almeno otto personaggi guadagna 20 punti.
La possibile gamma di punteggi va da un perfetto 100 punti fino a un triste -100 punti. Dashlane considera un sito ragionevolmente sicuro se guadagna almeno 50 punti. Solo il 14 percento dei siti intervistati ha gestito tale impresa e il 53 percento ha ottenuto punteggi negativi.
Password errate
A meno che non siano costretti a fare meglio dalle politiche sulle password di un sito, molte persone usano ancora password terribili come "password", "123456" e "qwerty". Dashlane ha identificato i dieci peggiori trasgressori e ha oscurato ogni sito di 2, 5 punti per ciascuno che è stato accettato. Oltre il 40 percento dei siti ha accettato tutti e dieci. Una manciata bloccò quasi tutto, ma inciampò in "abc123".
1800Flowers.com, Fab.com e Match.com hanno la non invidiabile distinzione di accettare password di un solo carattere. BestBuy.com è stato l'unico sito esaminato che richiede dieci o più personaggi.
Il migliore e il peggio
Solo il sito Web di Apple ha ottenuto un punteggio perfetto di 100 punti. Windows Live di Microsoft ha gestito 85 punti, UPS e Microsoft Store ne hanno guadagnati 75. Target e Kaspersky Lab hanno gestito 70 punti. Si noti che ciò si riferisce in modo molto specifico alle politiche relative alle password sul sito Web di Kaspersky e non ha nulla a che fare con il software di sicurezza dell'azienda.
In cerca di amore? Speriamo che tu non usi la tua password Match.com su nessun altro sito. Con -70 punti Match.com ha gestito il punteggio più basso di tutti i siti testati. Hulu e Overstock hanno segnato -55, Fab ha ottenuto -50 e una manciata di siti tra cui US Airways e Amazon hanno segnato -45.
Il punteggio medio tra tutti i siti testati era solo un capello sotto lo zero, ma la media per categoria variava selvaggiamente. Incontri, viaggi e sicurezza hanno una media di -23, -17 e -5 punti rispettivamente. L'e-commerce, le utilità sociali e le utilità di produttività hanno ottenuto punteggi positivi rispettivamente di 3, 12 e 13 punti. (Ehi, società di sicurezza; lavora sui tuoi siti Web!)
Le politiche riguardano le password
Probabilmente il risultato più interessante è stato il riferimento incrociato dei punteggi della politica password con la forza media della password su ciascun sito. Con il permesso degli utenti, Dashlane raccoglie e aggrega dati non personali sulla base delle password di ciascun utente. (Non le password stesse! Solo la valutazione della forza.) Non sorprende, c'è una forte correlazione tra i due punteggi.
È possibile visualizzare il rapporto completo, inclusi dettagli precisi sulla metodologia del test e i consigli di Dashlane per i siti con un punteggio basso su www.dashlane.com/securityroundup. Fai clic sull'infografica qui sotto per un'immagine più grande.