研究人員發現,相當多的流行**仍然允許使用者選擇弱密碼甚至單字元密碼。
研究人員使用自動帳戶建立方法評估了 Tranco Top 1M 中的 20,000 多個**,並評估了使用者必須遵守的密碼建立策略。
他們發現,75%的人允許密碼短於建議的8個字元(12%的人允許單字元密碼)。
他們還發現:
40%** 將密碼長度限制為建議的 64 個字元。
72%允許使用者使用字典單詞作為密碼,88%允許使用者選擇已知被破解的密碼。
三分之一的**不支援在所選密碼中使用特殊字元。
39% 接受最常用的密碼 ("123456"),而近一半的人接受前四個密碼之一(即"123456"、"123456789"、"qwerty "跟"password")。
他們還發現,**(42.)1%) 仍遵守 NIST 的 2004 年密碼策略指南,儘管這些指南已在 2017 年更新。還有相當多的**(16.)7%) 仍然堅持 1985 年 NIST 的建議!
我們還注意到,使用更強安全級別的情況要少得多。 例如,只有 5 個5% 的策略符合 NIST 2004 2 級標準,而 1 級標準的採用率為 421%。研究人員Suood Alroomi和Frank Li指出:"我們還發現,採用更嚴格的密碼指南(例如美國計算機應急小組、NCSC 和 OWASP 的密碼指南)的採用率也很低。
為什麼弱密碼建立策略仍然如此普遍? 研究人員認為,這有幾個原因。
他們說:"我們的案例研究 (...)結果發現,不安全的密碼策略決策與流行的Web軟體(如WooCommerce和Shopify)的預設配置密切相關。
如果流行的網路軟體預設使用推薦的密碼策略配置,則許多**可以切換到更強的密碼策略"。
許多建立者也可能不知道可用的更現代的密碼建立策略,這可以通過教育和宣傳工作來彌補。
千差萬別的密碼建立策略可能會造成可用性負擔。 "他們得出結論:"加密策略的標準化將大大減少這種使用者摩擦,從而在整個網路中提供統一的策略。
Alroomi 和 LI 最近還評估了 Google Crux 前 100 萬個網域名稱的登入策略,範圍從 18k 到 359k(取決於登入階段)。
他們找到了。 近 2,000 個網域名稱僅通過 HTTP 提供登入頁面,這意味著它們以純文字形式傳輸和儲存密碼,另有 21 個網域名稱除了 HTTPS 之外,2k 網域名稱還通過 HTTP 提供登入頁面。 其中包括許多亞洲和南美實體的**和教育領域。
3 200** 電子郵件 在使用者名稱或密碼欄位中禁用複製貼上(現代指南實際上提倡允許複製貼上)。
其中數百家公司部署了容錯密碼驗證,在依賴密碼猜測、撞庫和調整的攻擊中可能會被濫用。
近 6,000** 返回登入錯誤訊息,使使用者列舉攻擊變得輕而易舉。
少量登入速率限制用於防止暴力破解密碼猜測攻擊。
570** 明文密碼將在註冊、電子郵件驗證或密碼重置請求時通過電子郵件傳送。
在發現在電子郵件中傳送明文密碼的 570 個網域名稱中,我們注意到很大一部分(147 個,即 26%)是歐盟國家的國家程式碼頂級網域名稱(保加利亞 35 個,義大利 18 個,波蘭 14 個,法國和德國各 12 個)。 研究人員說"這些儲存的明文密碼可能違反歐盟 GDPR 第 32 條,該條款要求歐洲**安全地加密使用者資料。
因此,他們補充說,GDPR可以用來懲罰這種不安全的做法,並鼓勵對不安全做法的補救措施。
促銷活動可以有效地減少仍支援 HTTP 的登入頁面數量。 同樣,對流行的 Web 框架的更改可能會解決一些登入安全問題。
例如,大約五分之一易受使用者列舉影響的域似乎只是使用 WordPress 的預設登入失敗訊息。 研究人員指出"同樣,最常見的錯別字容忍策略可能是由於流行的伺服器端軟體修改密碼的方式而產生的。
雖然這些 Web 框架可能是普遍身份驗證問題的原因,但它們也可以是解決方案。 解決身份驗證問題的軟體更新可以大大減少易受攻擊的人數。 同時,如果流行的 Web 框架預設支援推薦的做法,例如速率限制,那麼我們可能會觀察到更高的採用率"。