1
1
2
Содержание
Введение� 3
Парольные�политики�на�сервисах� 4
Цель�исследования� 5
Методология�исследования� 6
Требования�сервисов�к�паролям� 8
Тестовые�словарные�пароли� 9
Достижения� 10
Двухфакторная�аутентификация� 11
Тестирование�парольных�политик�веб-сервисов� 12Почтовые сервисы 12
Социальные сети 15
Электронная коммерция 18
Платежные сервисы 21
Игровые сервисы 23
Криптовалюта 26
Хранение данных 29
Совместная разработка 32
Хостинг 35
Парольные менеджеры 38
Новостные сервисы 41
Развлекательные ресурсы 43
Блоги и форумы 46
Интернет-банкинг 49
Выводы� 50Общие итоги 52
Популярные заблуждения пользователей 53
Советы пользователю 54
Cоветы разработчику сервиса 55
Введение
Современный�интернет-пользователь�имеет�аккаунт�в�хотя�бы�одном�из�многочисленных� онлайн-сервисов:� социальной� сети,� почте,� облачном�хранилище,� интернет-магазине,� онлайн-игре� и� так� далее.� Так,� в� самой�популярной�соцсети�Facebook�общее�число�зарегистрированных�поль-зователей�достигло�2,17�миллиарда.�Неудивительно,�что,�имея�большую�аудиторию,�компании�стараются�надежно�защитить�свои�серверы�и�сер-висы,�а�также�максимально�обезопасить�данные�пользователей.
Впрочем,�если�пользователи�не�заботятся�о�защите�своих�аккаунтов�и�не�соблюдают�даже�минимальные�меры�по�обеспечению�безопасности,�все�усилия�изнутри�могут�оказаться�напрасны.�Сложность�криптографиче-ских�алгоритмов�не�играет�абсолютно�никакой�роли,�если�злоумышлен-ник�может�легко�получить�ключ.
Используя�широкий�арсенал�утилит,�киберпреступники�способны�за�ко-роткое�время�проверить� тысячи�паролей�и�получить�доступ�к�данным�жертвы.�Зачастую�пользователи�используют�в�качестве�пароля�простые�комбинации:�12345678�или�qwe123,�–�что�сильно�упрощает�задачу�злоу-мышленника.� Самым� верным� решением� проблемы� обеспечения� безо-пасности�своих�данных�до�сих�пор�остается�использование�сложных�па-ролей�(один�сервис�—�один�надежный�пароль).
Захватив�контроль�над�аккаунтом,�атакующий�может�задейство-вать�его�для�рассылки�спама,�вирусов,�а�также�проведения�атак�на�других�пользователей.�Например,�попросить�всех�друзей�по�социальной�сети�перевести�деньги�на�номер�телефона�под�тем�или�иным�предлогом.
Не�стоит�забывать�и�о�том,�что�компрометация�одного�аккаун-та�может�привести�ко�взлому�других�аккаунтов�пользователя,�потенциально�содержащих�более�критичные�данные�(многие�применяют�один�пароль�для�нескольких�сервисов�сразу).�По-мимо�этого,�через�почтовый�ящик�возможен�доступ�к�ресур-сам,�которые�привязаны�к�нему�с�помощью�функциональности�восстановления�пароля.�Цепочка�аккаунтов�может�рухнуть,�как�последовательность�костей�домино,�если,�допустим,�будет�восстановлен�пароль�к�аккаунту�соцсети,�а�через�него�успешно�выполнена�авторизация�на�тех�сайтах,�которые�используют�для�аутентификации�страницу�пользователя�в�Facebook,�ВКонтакте,�LinkedIn�и�проч.
3
4
Парольные политики на сервисах
Чтобы�пользователи�не�смогли�ограничиться�простей-шими�паролями�в�процессе�регистрации�аккаунта�и,�следовательно,�подставить�себя�под�удар,� существу-ют�парольные�политики.�Они�определяют�требования�к�длине�паролей,� типам�допустимых�и�обязательных�для� использования� символов,� требуемой� степени�сложности�и�т.�д.
Мы� решили� провести� исследование� и� выяснить,� ка-кие�парольные�политики�используются�на�различных�веб-сервисах.�Для�этого�рассмотрим�возможный�век-тор�атак�на�пользовательские�аккаунты.
Злоумышленник� собрал� базу� данных� пользователей�какого-то� сервиса� и� пытается� подобрать� пароли� к�ним�в�режиме�«онлайн».�В�принципе,�он�может�задей-ствовать�большой�словарь�на�десятки�гигабайт�и�для�каждого�аккаунта�попробовать�найти�нужную�комби-нацию�символов.
Если� на� одну� попытку� будет� тратиться� одна� се-кунда,�результата�можно�и�не�дождаться.�А�после�трех�попыток�авторизации�сервис�попросит�вве-сти�captcha,�и�осуществить�автоматизированный�перебор�станет�невозможно.
5
Цель исследования
Мы�решили�обновить�и�расширить�наше�исследование�четырехлетней�давности,�чтобы�узнать,�как�на�сегод-няшний�день�сервисы�подталкивают�пользователей�к�выбору�сильного�пароля.
Нами� были� протестированы� только� самые� популяр-ные�пароли,�обладатели�которых�могут�стать�первыми�жертвами�злоумышленников.
Чтобы�не�допустить�их�использования,�при�регистра-ции�многие�сайты�дают�рекомендации�по�выбору�оп-тимальной�комбинации�символов.
Давайте� проверим,� насколько� подобные� советы� спо-собны�защитить�пользователей.
Мы попытались ответить на следующие вопросы для каждого из исследованных сервисов:
Предлагает�ли�сервис�какой-либо�перечень�рекомендации�к�паролю,�к�которому�пользователь�имел�бы�легкий�и�свободный�доступ�(свод�правил�на�странице�регистрации�и�т.�п.)?
Какими�правилами�должен�руководствоваться�пользователь�при�выборе�комбинации�символов?Например,�нигде�не�содержится�в�явном�виде�каких-либо�рекомендаций,�но,�если�пароль�не�подходит�по�тем�или�иным�параметрам,�сервис�сообщит�об�этом.
Возможно�ли�зарегистрироваться�на�сервисе,�используя�слабые�пароли?
Присутствуют�ли�какие-либо�механизмы�защиты�от�несанкционированной�авторизации.Например,�двухфакторная�аутентификация?
Какие�ограничения�используют�сервисы�во�время�регистрации�или�восстановления�пароля?
1
2
345
6
Методология исследования
Для�успешного�проведения�анализа*�нами�был�определен�набор�правил,�представленных� в� Таблице� 1,� –� компиляция� рекомендаций� множества�сервисов,�популярных�и�не�очень.
Далее�была�произведена�оценка�предлагаемых�ресурсами�требований�с�помощью�баллов.�За�каждый�недочет,�который�может�в�итоге�привести�к�«ослаблению»�пароля,�вычитался�1�балл.�И,�напротив,�сервисыс� оптимальными� рекомендациями� зарабатывали� заслуженные� баллы.�Чем�больше�баллов,�тем�лучше�парольная�политика�сервиса.
Конечно,�хуже�всего,�если�правил�создания�паролей�нет�вовсе,�и�малое�количество� баллов� тут� не� требует� пояснений.� Однако� подход,� при�котором�сервис�требует�создавать�комбинацию�не�длиннее�20�символов�или� запрещает� использовать� специальные� символы� (@?*),� также�«ослабляет»� пароли.� Поэтому� и� в� данном� случае� вычитание� баллов�вполне�оправдано.*Данные, представленные в этом исследовании, актуальны на 01.12.2018
Также�мы�сформировали�небольшой�список�паролей(см. Таблица�2),�которые�в�той�или�иной�степени�удовлетворяют�этим�правилам,�но�при�этом�являются�словарными�и�часто�используемыми.�Если�сервис�позволял�зарегистрироваться�с�предложенными�комбинациями,он�терял�баллы.
Хотя�подобное�исследование�проводилосьи�раньше,�в�этот�раз�мы�решили�расширить�группы�исследуемых�сервисов.�В�данном�исследовании�парольные�политики�проверялись�не�только�при�регистрациина�сервисах,�но�также�при�смене�и�восстановлении�пароля.Если�вы�забыли�свой�пароль,�а�сервис�услужливо�отправляет�его�вам�на�почту�–�это�очень�плохо:�ваш�почтовый�ящикне�самое�надежное�место�для�их�хранения.
7
Данная�методика�не�является�стандартизированнойи�не�может�претендовать�на�полноту,�однако�ее�основная�цель�–�дать�представление�о�состоянии�парольных�политик�веб-сервисов.
Выбранные�для�исследования�ресурсы�были�сгруппированы�по�их�назначению:
Совместная�разработка
Хостинг
Парольные�менеджеры
Новостные�сервисы
Развлекательные�ресурсы
Блоги�и�форумы
Почтовые�сервисы
Социальные�сети
Электронная�коммерция
Платежные�сервисы
Игровые�сервисы
Криптовалюта
Хранение�данных
Интернет-банкинг
8
Таблица 1. Парольные политики
№ Правило Балл1��������� Минимальная�длина�пароля�менее�6�символов -�1
2��������� Минимальная�длина�пароля�–�6-8�символов -�0,5
3��������� Минимальная�длина�более�8�символов� +�1
4��������� Максимальная�длина�менее�20�символов -0,5
5��������� Максимальная�длина�более�20�символов +1
6��������� Пароль�должен�содержать�цифры +0,5
7��������� Пароль�должен�содержать�буквы +0,5
8��������� Пароль�должен�содержать�заглавные�буквы +0,5
9��������� Пароль�должен�содержать�специальные�символы +0,5
10����� Пароль�не�должен�совпадать�с�логином +1
11����� Пароль�не�должен�совпадать�с�почтой +1
12�����Пароль�не�может�быть�похожим�на�логин�и/или�почту�(логин�+�год,�заглавная�буква�в�почте�и�т.�п.)
+2
13����� Пароль�не�должен�быть�словарным +2
14����� Сервис�дает�рекомендации�явно +1
15����� Запрет�использования�специальных�символов -1
16����� Сервис�строго�придерживается�своих�рекомендаций +0,5
17����� Сервис�позволяет�установить�слабый�пароль -1
Итак,�мы�имеем�следующий�набор�оптимальных�жестких�требований�к�пользовательскому�паролю:�
• пароль�должен�быть�длиннее�8�символов
• пароль�должен�содержать�цифры,�заглавные�и�строчные�буквы,�спецсимволы
• пароль�не�должен�быть�похожим�на�логин.
Помимо�этого,�сервисы�должны�давать�общие�реко-мендации�по�сложности�пароля�пользователям�и�не�позволять�регистрироваться�ни�с�одной�из�тестируемых�комбинаций�символов.
Естественно,�самый�низкий�рейтинг�получили�те�служ-бы,�которые�допускают�использование�паролей�даже�длиной�в�1�символ�и�самых�простых�паролей,�а�также�не�выдвигают�вообще�никаких�требований�и�ограничивают�максимальную�длину�пароля.
Градация�качества�парольной�политики:
Требования сервисов к паролям
11,5-4 -1 2 5 8
Тестовые словарные пароли
Таблица 2. Пароли, используемые для тестирования
Пароль Описание Словарь, где можно найти
123456 Минимальная�длина�пароля�менее�6�символов Топ-100
qwe123 Минимальная�длина�пароля�–�6-8�символов Топ-10000
123456789 Минимальная�длина�более�8�символов Топ-100
qwerty123 Максимальная�длина�менее�20�символов Топ-1000
Qwerty123 Максимальная�длина�более�20�символов RockYou
1q2w3e4r Пароль�должен�содержать�цифры Топ-100
P@ssword Пароль�должен�содержать�буквы RockYou
123QWEasd Пароль�должен�содержать�заглавные�буквы RockYou
P@ssword123 Пароль�должен�содержать�специальные�символы RockYou
Атака�по�словарю�значительно�ускоряет�взлом�па-роля�и�повышает�шансы�успешности�атаки�методом�перебора.�Для�тестирования�возможности�установки�простых�паролей�были�выбраны�пароли�из�несколь-ких�известных�словарей:
• Топ-100�самых�плохих�паролей
• Топ-10000�самых�плохих�паролей
• Словарь�RockYou�—�один�из�самых�популярных�словарей�для�атаки�методом�перебора.�Он�вклю-чает�в�себя�пароли,�украденные�со�взломанного�сайта�компании�RockYou�—�разработчика�приложе-ний�для�соцсетей.
9
10
Достижения
Таблица 3. Достижения
Название Пиктограмма Описание
No�rules! Никаких�рекомендаций�от�сервиса
Двойные�стандартыРазные�политики�при�регистрациии�смене�пароля
Full�House Удалось�использовать�все�словарные�пароли
Все�очень�плохо Сервис�набрал�менее�4�баллов
Будем�откровенныНа�почту�приходит�пароль��в�открытом�виде
Для� наглядности� мы� ввели� ряд�«достижений»� за� недостатки� па-рольной� политики,� демонстриру-ющих,� насколько� сильна� пароль-ная�безопасность�исследованных�сервисов
11
Наличие�двухфакторной�аутентификации�(2FA/Two�Factor�Authentication)�у�сер-виса�приносит�дополнительные�0,5�балла.
В�ходе�тестирования�было�проанализировано�157�сервисов.�Из�них�больше�половины�(90)�имеет�возможность�включения�двухфакторной�аутентификации.�Крайне�редко�она�была�активирована�по�умолчанию�(в�основном,�в�сервисах�Интернет-банкинга).�Для�некоторых�сервисов�и�вовсе�приходилось�специально�искать�в�Интернете�инструкции�по�включению�2FA.
Так,�например,�есть�замечательный�ресурс,�на�котором�представлено�огромное�количество�популярных�сервисов�и�показано,�возможно�ли�включить�на�них�двухфакторную�аутентификацию.
Существует�несколько�вариантов�исполнения�двухфакторной�аутентификации.�Самый�распространенный��—�одноразовый�пароль,�который�либо�генерируется�с�помощью�специального�приложения�(например,�Google�Authenticator),�либо�приходит�по�SMS.
Реестр�одноразовых�паролей�может�быть�создан�заранее�и�храниться�у�поль-зователя�офлайн.�Также�распространен�метод,�использующий�аппаратный�ключ�безопасности�(например,�YubiKey),�который�внешне�может�быть�неотли-чим�от�обычной�флешки.
Наличие�такой�опции,�как�2FA,�возможность�ее�активации�и�правильное�ис-пользование�являются�мощным�механизмом�обеспечения�дополнительной�безопасности.
Двухфакторная аутентификация
12
Почтовые сервисы
Требования к паролюGmail Outlook Яндекс Mail.ru Рамблер Yahoo!
Минимальная�длина�пароля�менее�6�символов � � � � � �Минимальная�длина�пароля�–�6-8�символов � � -0,5 -0,5 -0,5 -0,5Минимальная�длина�более�8�символов +1 +1 � � � �Максимальная�длина�менее�20�символов � � � � � �Максимальная�длина�более�20�символов +1 +1 +1 +1 +1 +1Пароль�должен�содержать�цифры +0,5 +0,25* +0,5 +0,5 +0,5 �Пароль�должен�содержать�буквы +0,5 +0,25* +0,5 +0,5 +0,5 �Пароль�должен�содержать�заглавные�буквы � +0,25* +0,5 � +0,5 �Пароль�должен�содержать�специальные�символы +0,5 +0,25* � � � �Пароль�не�должен�совпадать�с�логином +1 +1 +1 +1 � +1Пароль�не�должен�совпадать�с�почтой +1 +1 +1 +1 � +1Пароль�не�может�быть�похожим�на�логин�и/или�почту(логин�+�год,�заглавная�буква�в�почте�и�т.�п.) � +2 � +2 � +2
Пароль�не�должен�быть�словарным +2 +2 +2 +2 � +2Сервис�дает�рекомендации�явно +1 +1 +1 +1 +1 +1Запрет�использования�специальных�символов � � -1 -1 -1 -1Сервис�строго�придерживается�своих�рекомендаций � +0,5 +0,5 +0,5 +0,5 +0,5Сервис�позволяет�установить�слабый�пароль � � -1 -1 -1 �2FA +0,5 +0,5 +0,5 +0,5 � +0,5
sms,�app,�codes,�e-key
sms,app
sms,app
sms,app sms
Достижения � � �
Тестирование парольных политик веб-сервисов
*любые 2 условия из 4-х
Достижения:
никаких�рекомендацийот�сервиса
разные�политики�при�регистрациии�смене
удалось�использовать�все�словарные�пароли
сервис�набрал�менее�4�баллов
на�почту�приходит�пароль�в�открытом�виде
13
Почтовые сервисы
Требования к паролюAOL Zoho ProtonMail Mailbox.org Pobox FastMail
Минимальная�длина�пароля�менее�6�символов � � -1 � � �Минимальная�длина�пароля�–�6-8�символов -0,5 -0,5 � -0,5 -0,5 -0,5Минимальная�длина�более�8�символов � � � � � �Максимальная�длина�менее�20�символов � � � � � �Максимальная�длина�более�20�символов +1 +1 +1 +1 +1 +1Пароль�должен�содержать�цифры � +0,5 � +0,5 � �Пароль�должен�содержать�буквы � +0,5 � +0,5 � �Пароль�должен�содержать�заглавные�буквы � +0,5 � +0,5 � �Пароль�должен�содержать�специальные�символы � +0,5 � � � �Пароль�не�должен�совпадать�с�логином +1 � � +1 � +1Пароль�не�должен�совпадать�с�почтой +1 � � +1 � �Пароль�не�может�быть�похожим�на�логин�и/или�почту(логин�+�год,�заглавная�буква�в�почте�и�т.�п.)
+2 � � +2 � �
Пароль�не�должен�быть�словарным +2 +2 � +2 � +2Сервис�дает�рекомендации�явно +1 +1 � +1 � +1Запрет�использования�специальных�символов -1 � � -1 � �Сервис�строго�придерживается�своих�рекомендаций +0,5 +0,5 � +0,5 � +0,5Сервис�позволяет�установить�слабый�пароль � � -1 � -1 -12FA +0,5 +0,5 +0,5 +0,5 � +0,5
sms sms,app app app sms
Достижения � �
Достижения:
никаких�рекомендацийот�сервиса
разные�политики�при�регистрациии�смене
удалось�использовать�все�словарные�пароли
сервис�набрал�менее�4�баллов
на�почту�приходит�пароль�в�открытом�виде
14
Почтовые�сервисы�оказались�самым�популярным�среди�пользователей�типом�исследованных�ресурсов.�Помимо�обычной�переписки,�они�повсеместно�используются�для�регистрации�в�других�службах�и�приложениях.�Проникнув�в�почтовый�аккаунт,�можно�с�помощью�функции�восстановле-ния�пароля�получить�доступ�к�другим�сервисам,�в�которых�зарегистрирован�пользователь.
Почти�все�представленные�сервисы�определяют�широкий�набор�правил�и�требований�к�паролю�(при�этом�не�только�к�длине�пароля,�но�и�к�его�схожести�с�логином�и�разнообразию�использован-ных�символов).
Как�и�в�прошлом�исследовании,�у�половины�крупнейших�почтовых�сервисов�дела�с�защитой�от�простых�паролей�обстоят�неплохо.�Большинство�из�них�предъявляют�свои�рекомендации�в�явной�для�пользователя�форме�и�строго�их�придерживаются.�Общий�результат�для�почтовых�сервисов�можно�охарактеризовать�как�«средний».
Как�и�5�лет�назад,�в�аутсайдерах�оказался�ресурс�Pobox.�К�нему�добавился�почтовый�сервис�ProtonMail,�который�не�использует�никакие�парольные�политики,�и�перекладывает�всю�ответственность�за�сложность�пароля�на�плечи�пользователя.
Итого:
9
8
7
6
5
4
3
2
1
0
-1
10 10
9
7,5
6,5
6
4,5
1,5
-0,5
15
Социальные сети
Требования к паролюFacebook Twitter Linked.In Вконтакте Pinterest Instagram
StackExchange
Минимальная�длина�пароля�менее�6�символов � � � � � � �Минимальная�длина�пароля�–�6-8�символов -0,5 -0,5 -0,5 -0,5 -0,5 -0,5 -0,5Минимальная�длина�более�8�символов � � � � � � �Максимальная�длина�менее�20�символов � � � � � � �Максимальная�длина�более�20�символов +1 +1 +1 +1 +1 +1 +1Пароль�должен�содержать�цифры +0,5 � � � � � +0,5Пароль�должен�содержать�буквы +0,5 � � +0,5 +0,5 � +0,5Пароль�должен�содержать�заглавные�буквы � � � � � � +0,25*Пароль�должен�содержать�специальные�символы +0,5 � � � � � +0,25*Пароль�не�должен�совпадать�с�логином +1 +1 � � � � +1Пароль�не�должен�совпадать�с�почтой +1 � � � � � +1Пароль�не�может�быть�похожим�на�логин�и/или�почту(логин�+�год,�заглавная�буква�в�почте�и�т.�п.) � � � � � � �
Пароль�не�должен�быть�словарным +2 � � � +2 +2 +2Сервис�дает�рекомендации�явно +1 � +1 +1 � � +1Запрет�использования�специальных�символов � � � � -1 � �Сервис�строго�придерживается�своих�рекомендаций +0,5 +0,5 +0,5 +0,5 +0,5 +0,5 +0,5Сервис�позволяет�установить�слабый�пароль � � -1 -1 � � �2FA +0,5 +0,5 +0,5 +0,5 +0,5 +0,5 �
sms,�app,� sms sms sms sms sms
Достижения
Достижения:
никаких�рекомендацийот�сервиса
разные�политики�при�регистрациии�смене
удалось�использовать�все�словарные�пароли
сервис�набрал�менее�4�баллов
на�почту�приходит�пароль�в�открытом�виде
*любые 2 условия из 4-х
16
Социальные сети
Требования к паролюTagged Одноклассники ask.fm MySpace Meetup Tinder Meet�me
Минимальная�длина�пароля�менее�6�символов � � � � � �Минимальная�длина�пароля�–�6-8�символов � � � � � � -1Минимальная�длина�более�8�символов -0,5 -0,5 -0,5 -0,5 -0,5 -0,5 �Максимальная�длина�менее�20�символов � � � � � � �Максимальная�длина�более�20�символов � � � � � � -0,5Пароль�должен�содержать�цифры +1 +1 +1 +1 +1 +1 �Пароль�должен�содержать�буквы � � +0,5 � � +0,5 �Пароль�должен�содержать�заглавные�буквы � +0,5 +0,5 � � +0,5 �Пароль�должен�содержать�специальные�символы � � � � � � �Пароль�не�должен�совпадать�с�логином � � � � � � �Пароль�не�должен�совпадать�с�почтой � +1 � � � � �Пароль�не�может�быть�похожим�на�логин�и/или�почту(логин�+�год,�заглавная�буква�в�почте�и�т.�п.) � +1 � � � � �
Пароль�не�должен�быть�словарным � +2 � � � � �Сервис�дает�рекомендации�явно � +2 � � � +2 �Запрет�использования�специальных�символов � � � +1 +1 +1 �Сервис�строго�придерживается�своих�рекомендаций � -1 � � � � �Сервис�позволяет�установить�слабый�пароль � +0,5 +0,5 +0,5 +0,5 +0,5 +0,52FA � +0,5 � � � +0,5 �
sms sms
Достижения
Достижения:
никаких�рекомендацийот�сервиса
разные�политики�при�регистрациии�смене
удалось�использовать�все�словарные�пароли
сервис�набрал�менее�4�баллов
на�почту�приходит�пароль�в�открытом�виде
Популярность�социальных�сетей�растет�из�года�в�год.�Бесспорным�лидером�среди�них�стал�Facebook�с�более�чем�2,7�миллиарда�активных�пользователей.�На�этих�площадках�«кипит�жизнь».�Помимо�рядовых�пользователей,�свои�аккаунты�ведут�крупные�и�не�очень�компании,�общаются�с�народом�политические�деятели,�организуются�социальные�проекты.�Иногда,�про-никнув�в�аккаунт�в�социальной�сети,�злоумышленник�может�завладеть�критичными�данными�пользователя�и�доступом�ко�всему�его�кругу�общения.�Нередки�и�случаи,�когда�частная�пере-писка�и�личные�фотографии�становятся�достоянием�общественности.
Большинство�исследуемых�сервисов�предъявляет�минимум�требований�к�паролю.�В�основном,�ограничения�накладываются�лишь�на�минимальную�длину.
По�сравнению�с�прошлым�исследованием�на�этот�раз�пароли�«подросли»,�минимум�6-8�симво-лов.�Однако�до�сих�пор�отсутствует�проверка�словарных�паролей.
Сервис�MeetMe�продолжает�оставаться�на�последних�позициях,�равно�как�и�Tagged.
В�большинстве�случаев�все�или�подавляющее�количество�тестируемых�паролей�подошли,�од-нако�соцсетям�по-прежнему�все�равно,�какой�пароль�вы�будете�использовать.
Итого:
9
8
7
6
5
4
3
2
1
0
-1
-2
7,5
3,5
3
8
7
2
1
-2
2,5
5,5
1,5
-0,5
17
18
Электронная коммерция
Требования к паролюAmazon Ebay AliExpress Walmart Ozon Юлмарт Ситилинк Etsy
Минимальная�длина�пароля�менее�6�символов � � � � � � � �Минимальная�длина�пароля�–�6-8�символов -0,5 -0,5 -0,5 -0,5 -0,5 -0,5 -0,5 -0,5Минимальная�длина�более�8�символов � � � � � � � �Максимальная�длина�менее�20�символов � � � -0,5 � � � �Максимальная�длина�более�20�символов +1 +1 +1 � +1 +1 +1 +1Пароль�должен�содержать�цифры � +0,5 � � � +0,5 � �Пароль�должен�содержать�буквы � +0,5 � � � +0,5 � �Пароль�должен�содержать�заглавные�буквы � � � � � � � �Пароль�должен�содержать�специальные�символы � � � � � � � �Пароль�не�должен�совпадать�с�логином � � � � � � � �Пароль�не�должен�совпадать�с�почтой � +1 � � � +1 � �Пароль�не�может�быть�похожим�на�логин�и/или�почту(логин�+�год,�заглавная�буква�в�почте�и�т.�п.) � � � � � � � �
Пароль�не�должен�быть�словарным � +2 � � � +2 � �Сервис�дает�рекомендации�явно +1 +1 +1 +1 � +1 +1 �Запрет�использования�специальных�символов � -1 -1 � � -1 -1 �Сервис�строго�придерживается�своих�рекомендаций +0,5 +0,5 +0,5 +0,5 +0,5 +0,5 +0,5 �Сервис�позволяет�установить�слабый�пароль -1 � -1 -1 -1 � -1 -12FA +0.5 +0.5 � � � � � +0.5
sms sms � � � � � sms,�app
Достижения
Достижения:
никаких�рекомендацийот�сервиса
разные�политики�при�регистрациии�смене
удалось�использовать�все�словарные�пароли
сервис�набрал�менее�4�баллов
на�почту�приходит�пароль�в�открытом�виде
19
Электронная коммерция
Требования к паролюNewegg
Онлайн�трейд.ру
Леруа�Мерлен Максидом ОБИ IKEA re:Store КЕЙ DNS
Минимальная�длина�пароля�менее�6�символов � � � � � � �Минимальная�длина�пароля�–�6-8�символов -0,5 -1 � � � � � � �Минимальная�длина�более�8�символов � � -0,5 -0,5 -0,5 -0,5 -0,5 -0,5 -0,5Максимальная�длина�менее�20�символов � � � � � � � � �Максимальная�длина�более�20�символов +1 � � � � -0,5 � � �Пароль�должен�содержать�цифры +0,5 +1 +1 +1 +1 � +1 +1 +1Пароль�должен�содержать�буквы +0,5 � +0,5 � � � � � �Пароль�должен�содержать�заглавные�буквы +0,25* � +0,5 � � � � +0,5 +0,5Пароль�должен�содержать�специальные�символы +0,25* � � � � � � � �Пароль�не�должен�совпадать�с�логином � � � � � � � � �Пароль�не�должен�совпадать�с�почтой � � � � � +1 � +1 �Пароль�не�может�быть�похожим�на�логин�и/или�почту(логин�+�год,�заглавная�буква�в�почте�и�т.�п.) � � � � +1 +1 � +1 �
Пароль�не�должен�быть�словарным +2 � � � � � � � �Сервис�дает�рекомендации�явно +1 +2 � � � � � � �Запрет�использования�специальных�символов � � +1 +1 +1 +1 � � +1Сервис�строго�придерживается�своих�рекомендаций +0,5 � -1 -1 � � � � �Сервис�позволяет�установить�слабый�пароль � � +0,5 +0,5 +0,5 � +0,5 +0,5 +0,52FA +0.5 � -1 -1 -1 -1 -1 -1 -1
sms,�app,� sms sms sms sms sms
Достижения
*любые 2 условия из 4-х
Достижения:
никаких�рекомендацийот�сервиса
разные�политики�при�регистрациии�смене
удалось�использовать�все�словарные�пароли
сервис�набрал�менее�4�баллов
на�почту�приходит�пароль�в�открытом�виде
20
Итого: Онлайн-магазины�предлагают�пользователям�удобство�и�оперативность�в�оформлении�и�выполне-нии�заказов.�Именно�поэтому�пользователи�так�охотно�оставляют�в�них�свои�данные,�информацию�о�месте�жительства�и�всю�свою�контактную�информацию.�Неплохо�было�бы,�если�бы�эти�сервисы�запрещали�устанавливать�пароли,�типа�123456.�Посмотрим,�как�обстоят�дела�в�этом�году.
Сервисы�электронной�коммерции,�как�и�соцсети,�не�любят�предъявлять�какие-либо�конкретные�правила�и�требования�к�сложности�пароля.�Подобную�«индифферентность»�в�отношении�надеж-ности�паролей�можно�объяснить�желанием�привлечь�и�удержать�как�можно�больше�покупателей.�Если�пользователь�тратит�на�оформление�покупки�или�регистрацию�на�одном�сервисе�две�мину-ты,�а�на�другом�тридцать�секунд�(при�условии,�что�ассортимент�и�цены�приблизительно�равны),�он�наверняка�пойдет�совершать�покупки�на�второй�сервис.
Статистика�остается�прежней�(хоть�выборка�и�невелика):�лишь�10%�онлайн-магазинов�используют�хоть�какую-то�парольную�политику.�И�это�при�том,�что�все�вполне�представляют�себе,�какие�пер-спективы�перед�злоумышленником�открывает�взлом�аккаунта�пользователя�сервиса�электронной�коммерции.�С�его�помощью�можно�получить�данные�о�заказах,�истории�платежей,�персональную�информацию.�В�конце�концов,�можно�присвоить�чужие�бонусы�или�заказать�пользователю�боль-шое�количество�товаров�на�дом.
Интересный факт 1:При�попытке�восстановить�пароль�Максидом�дает�не�ссылку�для�создания�нового�пароля,�а�акту-альный�в�открытом�виде.
Интересный факт 2:Невзирая�на�собственную�рекомендацию�использовать�пароль�длиннее�10�символов,�IKEA�позво-ляет�зарегистрироваться�с�паролем,�число�символов�в�котором�меньше�рекомендованного,�что�в�свою�очередь�вызывает�ошибки�при�попытке�сменить�пароль.
6
5
4
3
2
1
0
-1
5,5
2,5
2
5
1,5
1
0
-0,5
21
Платежные сервисы
Требования к паролюQIWI PayPal
Web�Money Payeer Skrill Neteller Dwolla Stripe Venmo
Минимальная�длина�пароля�менее�6�символов � � -1 � � � � � �Минимальная�длина�пароля�–�6-8�символов -0,5 -0,5 � -0,5 -0,5 -0,5 -0,5 -0,5 -0,5Минимальная�длина�более�8�символов � � � � � � � � �Максимальная�длина�менее�20�символов � � � � � � � � �Максимальная�длина�более�20�символов +1 +1 +1 +1 +1 +1 +1 +1 +1Пароль�должен�содержать�цифры +0,5 +0,5 � +0,5 +0,25* +0,5 � � �Пароль�должен�содержать�буквы +0,5 +0,5 � � +0,5 +0,5 � +0,5 �Пароль�должен�содержать�заглавные�буквы � � � +0,5 � +0,5 � � �Пароль�должен�содержать�специальные�символы � � � � +0,25* � � � �Пароль�не�должен�совпадать�с�логином � � � � � � � � �Пароль�не�должен�совпадать�с�почтой � � � � +1 � � � �Пароль�не�может�быть�похожим�на�логин�и/или�почту(логин�+�год,�заглавная�буква�в�почте�и�т.�п.) � � � � � � � � �
Пароль�не�должен�быть�словарным +2 +2 � +2 +2 +2 +2 +2 �Сервис�дает�рекомендации�явно +1 +1 +1 +1 +1 +1 +1 +1 +1Запрет�использования�специальных�символов � -1 � � � � � � �Сервис�строго�придерживается�своих�рекомендаций +0,5 +0,5 +0,5 +0,5 +0,5 +0,5 +0,5 +0,5 +0,5Сервис�позволяет�установить�слабый�пароль � � -1 � � � � � -12FA � +0,5 � +0,5 +0.5 +0.5 +0.5 +0,5 +0.5
sms,�app,� sms sms sms sms sms
Достижения
*любые условия из 2-х
Достижения:
никаких�рекомендацийот�сервиса
разные�политики�при�регистрациии�смене
удалось�использовать�все�словарные�пароли
сервис�набрал�менее�4�баллов
на�почту�приходит�пароль�в�открытом�виде
22
Поскольку�данный�тип�сервисов�хранит�платежную�информацию�и�позволяет�проводить�финансо-вые�операции,�безопасность�пользовательских�данных�должна�быть�на�высшем�уровне.�
Большей�части�таких�ресурсов�требуется�обязательная�сертификация�по�стандарту�PCI�DSS,�а�это�значит,�что�проводилось�тестирование�на�проникновение.�Следовательно,�подразумевается,�что�от�известных�атак�и�уязвимостей�они�защищены.�Посмотрим,�насколько�они�готовы�обезопасить�пользователей�от�последствий�использования�простого�пароля.
Почти�каждый�сервис�дает�большое�количество�рекомендаций�по�выбору�пароля.�Самые�простые�пароли�они,�конечно,�блокируют,�но�все�равно�подобный�уровень�безопасности�недопустим�в�кон-тексте�такого�рода�сервисов.
С�учетом�того,�что�многие�действия�требуют�подтверждения�операции�по�SMS�(2FA),�все�выглядит�хорошо.�Однако�для�авторизации�в�аккаунте,�как�обычно,�двухфакторную�аутентификацию�нужно�специально�устанавливать.
Примечателен�тот�факт,�что�WebMoney�за�последние�годы�с�лидирующей�позиции�сместился�в�самый�низ�списка�и�набрал�баллов�даже�меньше,�чем�Venmo.
Итого:
6
5
4
3
2
1
0
-1
5,5
4,5
5
1
6
4
0,5
23
Достижения:
никаких�рекомендацийот�сервиса
разные�политики�при�регистрациии�смене�пароля
удалось�использовать�все�словарные�пароли
сервис�набрал�менее�4�баллов
на�почту�приходит�пароль�в�открытом�виде
Игровые сервисы
Требования к паролюSteam Origin�(EA)
Leagueof�Legends EVE�Online
PlayStation�Network
Blizzard(Battle.net)
Минимальная�длина�пароля�менее�6�символов � � -1 � � �Минимальная�длина�пароля�–�6-8�символов � � � � � �Минимальная�длина�более�8�символов -0,5 -0,5 -0,5 -0,5 -0,5 -0,5Максимальная�длина�менее�20�символов � � � � � �Максимальная�длина�более�20�символов � -0,5 � � � -0,5Пароль�должен�содержать�цифры +1 � +1 +1 +1 �Пароль�должен�содержать�буквы � +0,5 +0,5 +0,5 +0,5 +0,5Пароль�должен�содержать�заглавные�буквы � +0,5 +0,5 +0,5 +0,25* +0,5Пароль�должен�содержать�специальные�символы � +0,5 � +0,5 � �Пароль�не�должен�совпадать�с�логином � � � � +0,25* �Пароль�не�должен�совпадать�с�почтой +1 +1 � � +1 +1Пароль�не�может�быть�похожим�на�логин�и/или�почту(логин�+�год,�заглавная�буква�в�почте�и�т.�п.) � � � � +1 �
Пароль�не�должен�быть�словарным +2 � � � +2 �Сервис�дает�рекомендации�явно +2 +2 � +2 +2 +2Запрет�использования�специальных�символов +1 +1 +1 +1 +1 +1Сервис�строго�придерживается�своих�рекомендаций -1 -1 -1 -1 � �Сервис�позволяет�установить�слабый�пароль +0,5 +0,5 +0,5 +0,5 +0,5 +0,52FA +0,5 +0,5 � � +0,5 +0,5
email,�app
email,�app � � sms sms,�app
Достижения � � � � �
*любые условия из 2-х
24
Достижения:
никаких�рекомендацийот�сервиса
разные�политики�при�регистрациии�смене�пароля
удалось�использовать�все�словарные�пароли
сервис�набрал�менее�4�баллов
на�почту�приходит�пароль�в�открытом�виде
Игровые сервисы
Требования к паролюG2A War�Thunder Rail�Nation Minecraft
The�Elder�Scrolls�Online
Wargaming.net
Минимальная�длина�пароля�менее�6�символов � � -1 � � �Минимальная�длина�пароля�–�6-8�символов -0,5 -0,5 � -0,5 -0,5 -0,5Минимальная�длина�более�8�символов � � � � � �Максимальная�длина�менее�20�символов � � � � � �Максимальная�длина�более�20�символов +1 +1 +1 +1 +1 +1Пароль�должен�содержать�цифры +0,25* � � +0,25* +0,5 �Пароль�должен�содержать�буквы +0,5 � � +0,25* +0,5 �Пароль�должен�содержать�заглавные�буквы +0,5 � � +0,25* � �Пароль�должен�содержать�специальные�символы +0,25* � � +0,25* � �Пароль�не�должен�совпадать�с�логином � � � � +1 +1Пароль�не�должен�совпадать�с�почтой � � +1 � � +1Пароль�не�может�быть�похожим�на�логин�и/или�почту(логин�+�год,�заглавная�буква�в�почте�и�т.�п.) � � � � +2 �
Пароль�не�должен�быть�словарным +2 � � � +2 �Сервис�дает�рекомендации�явно +1 +1 � +1 +1 +1Запрет�использования�специальных�символов � � � � -1 -1Сервис�строго�придерживается�своих�рекомендаций +0,5 +0,5 +0,5 +0,5 +0,5 �Сервис�позволяет�установить�слабый�пароль � -1 -1 -1 � -12FA +0,5 +0,5 � � � +0,5
sms app � � � app
Достижения �
*любые 2 условия из 4-х
Сегодня�мало�кто�будет�покупать�игры�на�физических�носителях,�если�только�это�не�коллек-ционное�издание.�В�2018�году�подавляющее�число�пользователей�выбирают�игровые�он-лайн-сервисы�и�сервисы�цифровой�дистрибуции.�В�январе�2018�года�количество�одновремен-но�находящихся�онлайн�пользователей�Steam�достигло�18�миллионов.�А�теперь�посмотрим,�как�обстоят�дела�с�парольными�политиками�в�этой�сфере.
На�этот�раз�большинство�исследуемых�сервисов�придерживалось�одних�и�тех�же�политик�как�при�регистрации,�так�и�при�смене�или�восстановлении�пароля.�Кроме�Wargaming.net,�который�снова�позволял�регистрироваться�с�более�свободными�правилами:�единственное�условие�при�регистрации�—�длина�пароля�должна�быть�больше�6�символов.�При�этом�при�смене�пароля�предъявлялось�гораздо�больше�требований.
Интересное�условие�появилось�на�странице�PlayStation�Network�—�запрет�повторяющихся,�а�также�расположенных�друг�за�другом�на�клавиатуре�символов.�Но�пару�словарных�паролей�при�этом�все�равно�получилось�установить.
В�общем�случае,�игровые�сервисы�стали�лучше�заботиться�о�парольных�политиках.�Правда,�это�не�мешает�тому,�что�аккаунты�игроков�постоянно�появляются�в�базах�утекших�данных.
Итого:
9
8
7
6
5
4
3
2
1
0
10
7
6
5
2
1
6,5
9,5
4,5
1,5
0,5
25
26
Криптовалюта
Требования к паролюBitcoin.de Blockchain Coinbase Kraken BitBay BitGo
Минимальная�длина�пароля�менее�6�символов � � � � � �Минимальная�длина�пароля�–�6-8�символов -0,5 -0,5 -0,5 -0,5 -0,5 -0,5Минимальная�длина�более�8�символов � � � � � �Максимальная�длина�менее�20�символов � � � � � �Максимальная�длина�более�20�символов +1 +1 +1 +1 +1 +1Пароль�должен�содержать�цифры +0,5 � � +0,5 � �Пароль�должен�содержать�буквы +0,5 � � +0,5 � �Пароль�должен�содержать�заглавные�буквы � � � � � �Пароль�должен�содержать�специальные�символы +0,5 � � +0,5 � �Пароль�не�должен�совпадать�с�логином +1 � +1 +1 � �Пароль�не�должен�совпадать�с�почтой +1 � +1 +1 � �Пароль�не�может�быть�похожим�на�логин�и/или�почту(логин�+�год,�заглавная�буква�в�почте�и�т.�п.) � � � � � �
Пароль�не�должен�быть�словарным +2 +2 � +2 � +2Сервис�дает�рекомендации�явно +1 +1 +1 +1 +1 +1Запрет�использования�специальных�символов � � � � � �Сервис�строго�придерживается�своих�рекомендаций +0,5 +0,5 +0,5 +0,5 � +0,5Сервис�позволяет�установить�слабый�пароль � � -1 � -1 �2FA +0,5 +0,5 +0,5 +0,5 +0,5 +0,5
app,�codes sms,�app sms,�app app,�
e-key sms,�app app
Достижения � � � � �
Достижения:
никаких�рекомендацийот�сервиса
разные�политики�при�регистрациии�смене
удалось�использовать�все�словарные�пароли
сервис�набрал�менее�4�баллов
на�почту�приходит�пароль�в�открытом�виде
27
Криптовалюта
Требования к паролюBitPay CEX.IO OKCoin Bitfinex Bittrex WEX
Минимальная�длина�пароля�менее�6�символов � � � � � �Минимальная�длина�пароля�–�6-8�символов -0,5 -0,5 -0,5 -0,5 -0,5 �Минимальная�длина�более�8�символов � � � � � +1Максимальная�длина�менее�20�символов � � � � � �Максимальная�длина�более�20�символов +1 +1 +1 +1 +1 +1Пароль�должен�содержать�цифры +0,5 � � +0,5 +0,5 +0,5Пароль�должен�содержать�буквы +0,5 � � +0,5 +0,5 +0,5Пароль�должен�содержать�заглавные�буквы +0,5 � � +0,5 +0,5 +0,5Пароль�должен�содержать�специальные�символы � � � +0,5 � �Пароль�не�должен�совпадать�с�логином � � � � � �Пароль�не�должен�совпадать�с�почтой � � � � � �Пароль�не�может�быть�похожим�на�логин�и/или�почту(логин�+�год,�заглавная�буква�в�почте�и�т.�п.) � � � � � �
Пароль�не�должен�быть�словарным +2 +2 � +2 +2 +2Сервис�дает�рекомендации�явно +1 +1 � +1 +1 +1Запрет�использования�специальных�символов � � � � � �Сервис�строго�придерживается�своих�рекомендаций +0,5 +0,5 +0,5 +0,5 +0,5 �Сервис�позволяет�установить�слабый�пароль � � -1 � � �2FA +0,5 +0,5 +0,5 +0,5 +0,5 +0,5
app sms,�app sms,�app app,�e-key app app
Достижения
Достижения:
никаких�рекомендацийот�сервиса
разные�политики�при�регистрациии�смене
удалось�использовать�все�словарные�пароли
сервис�набрал�менее�4�баллов
на�почту�приходит�пароль�в�открытом�виде
28
Криптовалюта�—�революционное�изобретение�XXI�века,�преимущества�которого�оценили�уже�не�только�особо�увлеченные,�но�и�обычные�пользователи.�Последние,�впрочем,�все�чаще�прибегают�к�услугам�криптовалютных�бирж�–�специальных�веб-сервисов,�которые�хранят�ключевые�файлы�кошельков�у�себя�и�позволяют�производить�операции�с�валютой�через�браузер.�Но�обеспечива-ют�ли�биржи�такую�защиту,�какую�предоставляет�стандартный�клиент?�Различных�проблем�у�них�достаточно,�но�обратимся�к�их�парольным�политикам.
Большинство�сервисов�четко�придерживается�собственных�требований�к�сложности�пароля.�Все,�кроме�одного,�явно�предъявляли�свои�требования�к�паролю.
Сервис�BitGo�при�регистрации�сразу�предложил�использовать�Google�Authenticator�или�аппаратный�ключ�безопасности�Yubikey.�Остальные�сервисы�также�поддерживают�двухфакторную�аутентифи-кацию�(большинство�даже�несколько�способов).
Отстающие�ранее�в�плане�безопасности�сервисы�CEX.IO�и�BitPay�усилили�свои�политики�и�теперь�заняли�средние�позиции.
Итого:
9
8
7
6
5
4
3
2
1
0
7
8
6
1
6,5
4,5
3,5
0,5
29
Хранение данных
Требования к паролюMEGA iCloud DropBox Box Nextcloud
Минимальная�длина�пароля�менее�6�символов � � � � �Минимальная�длина�пароля�–�6-8�символов � � � � �Минимальная�длина�более�8�символов -0,5 -0,5 -0,5 -0,5 -0,5Максимальная�длина�менее�20�символов � � � � �Максимальная�длина�более�20�символов � � � � �Пароль�должен�содержать�цифры +1 +1 +1 +1 +1Пароль�должен�содержать�буквы � +0,5 � +0,5 �Пароль�должен�содержать�заглавные�буквы � +0,5 � � +0,5Пароль�должен�содержать�специальные�символы � +0,5 � � +0,5Пароль�не�должен�совпадать�с�логином � � � � �Пароль�не�должен�совпадать�с�почтой � +1 � � �Пароль�не�может�быть�похожим�на�логин�и/или�почту(логин�+�год,�заглавная�буква�в�почте�и�т.�п.) � +1 � � �
Пароль�не�должен�быть�словарным � � � � �Сервис�дает�рекомендации�явно +2 +2 � +2 +2Запрет�использования�специальных�символов +1 +1 � +1 �Сервис�строго�придерживается�своих�рекомендаций � -1 � � �Сервис�позволяет�установить�слабый�пароль +0,5 +0,5 +0,5 +0,5 +0,52FA +0,5 +0,5 +0,5 +0,5 +0,5
app,�codes sms,�codes sms sms codes
Достижения � �
Достижения:
никаких�рекомендацийот�сервиса
разные�политики�при�регистрациии�смене
удалось�использовать�все�словарные�пароли
сервис�набрал�менее�4�баллов
на�почту�приходит�пароль�в�открытом�виде
30
Хранение данных
Требования к паролюpCloud 4shared OpenDrive MediaFire WebStorage
Минимальная�длина�пароля�менее�6�символов � -1 -1 � �Минимальная�длина�пароля�–�6-8�символов -0,5 � � -0,5 -0,5Минимальная�длина�более�8�символов � � � � �Максимальная�длина�менее�20�символов � � � � �Максимальная�длина�более�20�символов +1 +1 +1 +1 +1Пароль�должен�содержать�цифры � � � � �Пароль�должен�содержать�буквы � � � � �Пароль�должен�содержать�заглавные�буквы � � � � �Пароль�должен�содержать�специальные�символы � � � � �Пароль�не�должен�совпадать�с�логином � � � � �Пароль�не�должен�совпадать�с�почтой � � � � +1Пароль�не�может�быть�похожим�на�логин�и/или�почту(логин�+�год,�заглавная�буква�в�почте�и�т.�п.)
� � � � �
Пароль�не�должен�быть�словарным � � � � �Сервис�дает�рекомендации�явно � � � +1 +1Запрет�использования�специальных�символов � � � � -1Сервис�строго�придерживается�своих�рекомендаций +0,5 +0,5 +0,5 +0,5 +0,5Сервис�позволяет�установить�слабый�пароль -1 -1 -1 -1 -12FA +0,5 � � � �
sms,�app � � � �
Достижения
Достижения:
никаких�рекомендацийот�сервиса
разные�политики�при�регистрациии�смене
удалось�использовать�все�словарные�пароли
сервис�набрал�менее�4�баллов
на�почту�приходит�пароль�в�открытом�виде
Облачные�файловые�хранилища�полезны�для�обеспечения�доступа�к�данным�из�любой�точки�земного�шара,�где�есть�доступ�к�сети.�Однако�в�жертву�комфорту,�как�правило,�приносится�безопасность.�Как�бы�ни�старались�разработчики�обеспечить�сильную�криптографию,�какой�в�этом�смысл,�если�пользователи�используют�пароли,�типа�«123456»?�Обратимся�к�результатам�исследования.
Удивил�сервис�MEGA,�который�оказался�не�на�первой�позиции�относительно�своих�парольных�политик.�Стоит�также�отметить,�что�если�вы�вдруг�забыли�свой�пароль,�восстановить�без�ре-зервного�ключа�его�не�удастся.
Все�сервисы�остались�верны�своим�парольным�политикам�и�при�смене/восстановлении�паро-ля.�Все�рекомендации,�которые�вы�можете�увидеть�на�их�страницах,�должны�быть�соблюдены.
В�общем�случае�все�же�сохраняется�тенденция�к�предоставлению�свободы�выбора�пароля�пользователю.�Хочется�также�отметить�сервисы�DropBox,�OpenDrive�и�MediaFire,�которые�про-пустили�все�исследуемые�словарные�пароли.
Итого:
6
7
5
4
3
2
1
0
-1
4,5
5
7
1
-0,5
0,5
31
32
Совместная разработка
Требования к паролюGitHub GitLab Bitbucket Linode Heroku
Минимальная�длина�пароля�менее�6�символов � � � � �Минимальная�длина�пароля�–�6-8�символов -0,5 -0,5 -0,5 -0,5 -0,5Минимальная�длина�более�8�символов � � � � �Максимальная�длина�менее�20�символов � � � � �Максимальная�длина�более�20�символов +1 +1 +1 +1 +1Пароль�должен�содержать�цифры +0,5 � � +0,25* +0,5Пароль�должен�содержать�буквы +0,5 � � +0,25* +0,5Пароль�должен�содержать�заглавные�буквы � � � +0,25* �Пароль�должен�содержать�специальные�символы � � � +0,25* +0,5Пароль�не�должен�совпадать�с�логином � � � � �Пароль�не�должен�совпадать�с�почтой � � � � �Пароль�не�может�быть�похожим�на�логин�и/или�почту(логин�+�год,�заглавная�буква�в�почте�и�т.�п.)
� � � � �
Пароль�не�должен�быть�словарным +2 � � � +2Сервис�дает�рекомендации�явно +1 � � � +1Запрет�использования�специальных�символов � � � � �Сервис�строго�придерживается�своих�рекомендаций +0,5 +0,5 +0,5 +0,5 +0,5Сервис�позволяет�установить�слабый�пароль � -1 -1 -1 �2FA +0,5 +0,5 +0,5 +0,5 +0,5
sms,�app app,�e-key app,�codes app,�codes app
Достижения
Достижения:
никаких�рекомендацийот�сервиса
разные�политики�при�регистрациии�смене
удалось�использовать�все�словарные�пароли
сервис�набрал�менее�4�баллов
на�почту�приходит�пароль�в�открытом�виде
*любые 2 условия из 4-х
33
Совместная разработка
Требования к паролюSourceForge Launchpad GitKraken Evernote Docker�Hub
Минимальная�длина�пароля�менее�6�символов � � � � �Минимальная�длина�пароля�–�6-8�символов � -0,5 -0,5 -0,5 -0,5Минимальная�длина�более�8�символов +1 � � � �Максимальная�длина�менее�20�символов � � � � �Максимальная�длина�более�20�символов +1 +1 +1 +1 +1Пароль�должен�содержать�цифры � � � � �Пароль�должен�содержать�буквы � � � � �Пароль�должен�содержать�заглавные�буквы � � � � �Пароль�должен�содержать�специальные�символы � � � � �Пароль�не�должен�совпадать�с�логином � � � � �Пароль�не�должен�совпадать�с�почтой � � � � �Пароль�не�может�быть�похожим�на�логин�и/или�почту(логин�+�год,�заглавная�буква�в�почте�и�т.�п.)
� � � � �
Пароль�не�должен�быть�словарным +2 � � � �Сервис�дает�рекомендации�явно +1 +1 +1 +1 �Запрет�использования�специальных�символов � � � � �Сервис�строго�придерживается�своих�рекомендаций +0,5 +0,5 +0,5 +0,5 +0,5Сервис�позволяет�установить�слабый�пароль � -1 -1 -1 -12FA +0,5 � � +0,5 �
app � � sms,�app �
Достижения
Достижения:
никаких�рекомендацийот�сервиса
разные�политики�при�регистрациии�смене
удалось�использовать�все�словарные�пароли
сервис�набрал�менее�4�баллов
на�почту�приходит�пароль�в�открытом�виде
34
Хранение�и�совместное�управление�репозиториями�кода�все�прочнее�входит�в�жизнь.�Репо-зитории�позволяют�снизить�риски�потери�кода�при�его�интеграции�разными�разработчиками.�Это�удобно�и�в�некоторых�случаях�безопаснее�традиционных�способов�хранения�информации.�Все�рекомендации�по�безопасности�прописаны�в�правилах�пользования�сервисами,�однако�ча-сто�ли�их�читают?�Проверим,�как�сервисы�напрямую�помогают�пользователям�не�использовать�простые�пароли.
Сервисы�GitKraken,�Docker�Hub�и�Evernote�не�проверяют�пароли�на�наличие�их�в�списках�наибо-лее�часто�используемых�и�допустили�все�девять�исследуемых.
Сервис�Bitbucket�также�терпим�к�словарным�комбинациям,�но�при�смене�или�восстановлении�пароля�удалось�использовать�уже�меньше�словарных�паролей.
В�явных�лидерах�оказались�SourceForge,�Heroku�и�GitHub.�Они�единственные,�кто�настаивает�на�наличии�в�пароле�определенных�символов,�а�также�фильтруют�слабые�пароли.
Стоит�отметить,�что�ни�один�сервис�не�делает�проверку�на�совпадение�пароля�с�почтой�или�логином�(если�такой�используется).
Итого:
6
5
4
3
2
1
0
5,5
1,5
1
0
6
0,5
35
Хостинг
Требования к паролюFirstVDS vscale digital�ocean ISPserver SmartApe
Минимальная�длина�пароля�менее�6�символов -1 � � -1 �Минимальная�длина�пароля�–�6-8�символов � -0,5 -0,5 � -0,5Минимальная�длина�более�8�символов � � � � �Максимальная�длина�менее�20�символов � � � � �Максимальная�длина�более�20�символов +1 +1 +1 +1 +1Пароль�должен�содержать�цифры � +0,25* � � �Пароль�должен�содержать�буквы � +0,5 +0,5 � �Пароль�должен�содержать�заглавные�буквы � +0,5 � � �Пароль�должен�содержать�специальные�символы � +0,25* � � �Пароль�не�должен�совпадать�с�логином � � +1 � �Пароль�не�должен�совпадать�с�почтой � � +1 � �Пароль�не�может�быть�похожим�на�логин�и/или�почту(логин�+�год,�заглавная�буква�в�почте�и�т.�п.)
� � � � �
Пароль�не�должен�быть�словарным � +2 +2 � �Сервис�дает�рекомендации�явно � +1 +1 � +1Запрет�использования�специальных�символов � � � � �Сервис�строго�придерживается�своих�рекомендаций � +0,5 +0,5 � �Сервис�позволяет�установить�слабый�пароль -1 � � -1 -12FA � � +0,5 � �
� � sms,�app � �
Достижения
Достижения:
никаких�рекомендацийот�сервиса
разные�политики�при�регистрациии�смене
удалось�использовать�все�словарные�пароли
сервис�набрал�менее�4�баллов
на�почту�приходит�пароль�в�открытом�виде
*любые 2 условия из 4-х
36
Хостинг
Требования к паролюHOSTLIFE Lite.host Bitweb Unihost FirstByte
Минимальная�длина�пароля�менее�6�символов � � � � �Минимальная�длина�пароля�–�6-8�символов -0,5 -0,5 -0,5 -0,5 -0,5Минимальная�длина�более�8�символов � � � � �Максимальная�длина�менее�20�символов � � � � �Максимальная�длина�более�20�символов +1 +1 +1 +1 +1Пароль�должен�содержать�цифры � � � � �Пароль�должен�содержать�буквы � � � � �Пароль�должен�содержать�заглавные�буквы � � � � �Пароль�должен�содержать�специальные�символы � � � � �Пароль�не�должен�совпадать�с�логином � � � � �Пароль�не�должен�совпадать�с�почтой � � � � �Пароль�не�может�быть�похожим�на�логин�и/или�почту(логин�+�год,�заглавная�буква�в�почте�и�т.�п.)
� � � � �
Пароль�не�должен�быть�словарным � � � � �Сервис�дает�рекомендации�явно +1 � � +1 �Запрет�использования�специальных�символов � � � � �Сервис�строго�придерживается�своих�рекомендаций +0,5 � +0,5 � +0,5Сервис�позволяет�установить�слабый�пароль -1 -1 -1 -1 -12FA � +0,5 +0,5 +0,5 +0,5
� app app app app
Достижения
Достижения:
никаких�рекомендацийот�сервиса
разные�политики�при�регистрациии�смене
удалось�использовать�все�словарные�пароли
сервис�набрал�менее�4�баллов
на�почту�приходит�пароль�в�открытом�виде
Для�размещения�своего�сайта�во�всемирной�паутине�иногда�приходится�прибегать�к�услугам�хостинг-провайдеров.�Если�злоумышленник�получит�доступ�к�чужому�аккаунту,�ему�достанется�все,�что�хранилось�на�этом�сайте:�данные�аккаунтов�пользователей,�платежная�информация,�личные�файлы,�данные�из�частной�переписки�и�т.д.
Дела�в�части�парольных�политик�хостингов�обстоят,�к�сожалению,�совсем�не�радужно.�Из�всех�исследованных�сервисов�только�два�предъявляли�требования�к�паролю�пользователя.�Помимо�этого,�только�DigitalOcean�и�Vscale�фильтруют�словарные�пароли.
Сильно�удивили�сервисы�HOSTLIFE�и�Lite.host.�После�регистрации�они�отправили�на�почту�пароли�в�открытом�виде.�При�этом�паролем�может�быть�все,�что�угодно,�в�том�числе�ссылка�на�другой�сайт.
Итого:
6
7
5
4
3
2
1
0
-1
5,5
7
1
0
-1
0,5
37
38
Парольные менеджеры
Требования к паролюdashlane Kaspersky LastPass Keeper� LogMeOnce� Splikity
ManageEngine
Минимальная�длина�пароля�менее�6�символов � � � � � � �Минимальная�длина�пароля�–�6-8�символов -0,5 -0,5 � -0,5 -0,5 -0,5 -0,5Минимальная�длина�более�8�символов � � +1 � � � �Максимальная�длина�менее�20�символов � � � � � � �Максимальная�длина�более�20�символов +1 +1 +1 +1 +1 +1 +1Пароль�должен�содержать�цифры +0,5 +0,5 +0,5 � +0,5 � +0,5Пароль�должен�содержать�буквы +0,5 +0,5 +0,5 � +0,5 � +0,5Пароль�должен�содержать�заглавные�буквы +0,5 +0,5 +0,5 � +0,5 � +0,5Пароль�должен�содержать�специальные�символы � � � � � � +0,5Пароль�не�должен�совпадать�с�логином � � � � � � �Пароль�не�должен�совпадать�с�почтой � � +1 � � � +1Пароль�не�может�быть�похожим�на�логин�и/или�почту(логин�+�год,�заглавная�буква�в�почте�и�т.�п.)
� � � � � � �
Пароль�не�должен�быть�словарным +2 +2 +2 � +2 � +2Сервис�дает�рекомендации�явно +1 +1 +1 � +1 � +1Запрет�использования�специальных�символов � -1 � � � � �Сервис�строго�придерживается�своих�рекомендаций +0,5 +0,5 +0,5 � � +0,5 �Сервис�позволяет�установить�слабый�пароль � � � -1 � -1 �2FA +0.5 +0,5 +0,5 +0,5 +0,5 � �
e-key app sms sms,�app sms,�app,�e-key � �
Достижения
Достижения:
никаких�рекомендацийот�сервиса
разные�политики�при�регистрациии�смене
удалось�использовать�все�словарные�пароли
сервис�набрал�менее�4�баллов
на�почту�приходит�пароль�в�открытом�виде
39
Парольные менеджеры
Требования к паролюSymantec SplashID Passpack Bitwarden
Password�Boss� 1password
Минимальная�длина�пароля�менее�6�символов � -1 � � � �Минимальная�длина�пароля�–�6-8�символов -0,5 � -0,5 -0,5 -0,5 �Минимальная�длина�более�8�символов � � � � � +1Максимальная�длина�менее�20�символов � � � � � �Максимальная�длина�более�20�символов +1 +1 +1 +1 +1 +1Пароль�должен�содержать�цифры +0,5 � � � +0,5 +0,5Пароль�должен�содержать�буквы +0,5 � � � +0,5 �Пароль�должен�содержать�заглавные�буквы +0,5 � � � +0,5 �Пароль�должен�содержать�специальные�символы +0,5 � � � +0,5 �Пароль�не�должен�совпадать�с�логином � � +1 � � �Пароль�не�должен�совпадать�с�почтой +1 � +1 � � �Пароль�не�может�быть�похожим�на�логин�и/или�почту(логин�+�год,�заглавная�буква�в�почте�и�т.�п.)
� � � � � �
Пароль�не�должен�быть�словарным +2 � +2 � +2 �Сервис�дает�рекомендации�явно +1 +1 +1 � +1 +1Запрет�использования�специальных�символов � � � � � �Сервис�строго�придерживается�своих�рекомендаций � +0,5 +0,5 +0,5 +0,5 �Сервис�позволяет�установить�слабый�пароль � -1 � -1 � -12FA +0,5 � +0,5 +0,5 +0,5 +0,5
sms,�app �app,�codes,�e-key
sms,�app,�codes,�e-key
app app
Достижения
Достижения:
никаких�рекомендацийот�сервиса
разные�политики�при�регистрациии�смене
удалось�использовать�все�словарные�пароли
сервис�набрал�менее�4�баллов
на�почту�приходит�пароль�в�открытом�виде
40
Активным�пользователям,�которые�беспокоятся�о�безопасности�своих�аккаунтов,�необходимо�каким-то�образом�хранить�большое�количество�различных�сложных�паролей.�Здесь�на�помощь�приходят�менеджеры�паролей;�эти�сервисы�помогают�хранить�в�тайне�все�пароли�пользовате-ля,�«запирая»�их�на�один�мастер-ключ.�Помимо�этого,�данные�сервисы�могут�самостоятельно�формировать�криптостойкие�пароли�и�автоматически�заполнять�формы.�Давайте�проверим,�какие�требования�к�паролю�они�предъявляют.
В�данной�группе�дела�обстоят�весьма�неплохо.�Стоит�отметить,�что�многие�сервисы�придер-живаются�довольно�строгих�взглядов�на�восстановление�паролей,�а�именно�отказываются�от�этого�вовсе.
Большинство�парольных�менеджеров�использовали�одни�и�те�же�парольные�политики�при�создании�и�изменении�пароля,�чего�нельзя�сказать�о�сервисе�LastPass,�который�позволяет�пользователю�гораздо�больше,�когда�речь�заходит�об�изменении�пароля.
Минимальная�длина�паролей�начиналась�от�8�символов,�а�максимальная�всегда�превышала�20.�Это�замечательно,�если�при�этом�пользователи�не�будут�использовать�в�качестве�пароля�свою�почту�или�логин�(а�многие�сервисы�не�используют�подобные�ограничения).
Итого:
6
7
8
9
5
4
3
2
1
0
5,5
8,5
6,5
0
6
7
5
3
0,5
41
Новостные сервисы
Требования к паролю РИА�Новости
Новая�газета Lenta.ru
Военное�обозрение Life.ru Sportbox
BFM.RU
Минимальная�длина�пароля�менее�6�символов -1 � � � � � -1Минимальная�длина�пароля�–�6-8�символов � -0.5 -0.5 -0.5 -0.5 -0.5 �Минимальная�длина�более�8�символов � � � � � � �Максимальная�длина�менее�20�символов � � � � � � �Максимальная�длина�более�20�символов +1 +1 +1 +1 +1 +1 +1Пароль�должен�содержать�цифры � � � � � � �Пароль�должен�содержать�буквы � � � � � � �Пароль�должен�содержать�заглавные�буквы � � � � � � �Пароль�должен�содержать�специальные�символы � � � � � � �Пароль�не�должен�совпадать�с�логином � � � � � � �Пароль�не�должен�совпадать�с�почтой � � � � � � �Пароль�не�может�быть�похожим�на�логин�и/или�почту(логин�+�год,�заглавная�буква�в�почте�и�т.�п.)
� � � � � � �
Пароль�не�должен�быть�словарным � � � � � � �Сервис�дает�рекомендации�явно � � � � � +1 +1Запрет�использования�специальных�символов � � � � � � �Сервис�строго�придерживается�своих�рекомендаций � +0.5 +0.5 +0.5 +0.5 +0.5 +0.5Сервис�позволяет�установить�слабый�пароль -1 -1 -1 -1 -1 -1 -12FA � � � � � � �
� � � � � � �
Достижения
Достижения:
никаких�рекомендацийот�сервиса
разные�политики�при�регистрациии�смене
удалось�использовать�все�словарные�пароли
сервис�набрал�менее�4�баллов
на�почту�приходит�пароль�в�открытом�виде
42
Новостные�ресурсы�уже�прочно�заняли�свою�нишу,�заменив�собой�бумажные�газеты.�Многие�из�них�имеют�функцию�комментирования�новостей,�чтобы�читатели�могли�сразу�же�обсудить�последние�события�и�поделиться�своим�мнением.�Для�этого�пользователям�предлагают�заре-гистрироваться.
В�данном�случае�с�безопасностью�все�довольно�плохо.�Можно�предположить,�что�никакой�про-блемы�в�том,�что�аккаунт�на�новостном�портале�взломают�–�ведь�всегда�можно�создать�еще�один.�Но�особо�изощренные�злоумышленники�могут�подпортить�репутацию�комментирующе-го,�оставляя�дискредитирующие�последнего�посты�и�разжигая�споры�от�его�имени.
Все�рассмотренные�новостные�сервисы�позволили�установить�слабый�пароль,�а�некоторые�и�пароль�длиной�менее�6�символов,�что�не�имеет�ничего�общего�с�безопасностью.�Крайне�важно�не�использовать�на�таких�сервисах�тот�же�пароль,�что�уже�используется�на�других�ресурсах.
Это�группа�сервисов�с�самыми�низкими�оценками�в�данном�исследовании.�Все�сервисы�полу-чили�по�несколько�«достижений».
Итого:
1
-1
0 0
1
-1
43
Развлекательные ресурсы
Требования к паролюpikabu reddit Sports.ru Adme Twitch 4pda
Минимальная�длина�пароля�менее�6�символов � � � -1 � -1Минимальная�длина�пароля�–�6-8�символов -0,5 -0,5 -0,5 � -0,5 �Минимальная�длина�более�8�символов � � � � � �Максимальная�длина�менее�20�символов � � -0,5 � � �Максимальная�длина�более�20�символов +1 +1 � +1 +1 +1Пароль�должен�содержать�цифры � � � � � �Пароль�должен�содержать�буквы � � � � � �Пароль�должен�содержать�заглавные�буквы � � � � � �Пароль�должен�содержать�специальные�символы � � � � � �Пароль�не�должен�совпадать�с�логином � � � � � �Пароль�не�должен�совпадать�с�почтой � � � � � �Пароль�не�может�быть�похожим�на�логин�и/или�почту(логин�+�год,�заглавная�буква�в�почте�и�т.�п.)
� � � � � �
Пароль�не�должен�быть�словарным � � � � � �Сервис�дает�рекомендации�явно +1 +1 � � +1 �Запрет�использования�специальных�символов � � -1 � � �Сервис�строго�придерживается�своих�рекомендаций +0,5 � +0,5 +0,5 +0,5 +0,5Сервис�позволяет�установить�слабый�пароль -1 -1 -1 -1 -1 -12FA +0,5 +0,5 � � +0,5 �
sms app � � sms,�app �
Достижения
Достижения:
никаких�рекомендацийот�сервиса
разные�политики�при�регистрациии�смене
удалось�использовать�все�словарные�пароли
сервис�набрал�менее�4�баллов
на�почту�приходит�пароль�в�открытом�виде
44
Развлекательные ресурсы
Требования к паролюDeviant�Art GeekBrains coub Amediateka livelib
Минимальная�длина�пароля�менее�6�символов � � � � -1Минимальная�длина�пароля�–�6-8�символов -0,5 -0,5 -0,5 -0,5 �Минимальная�длина�более�8�символов � � � � �Максимальная�длина�менее�20�символов � � � � �Максимальная�длина�более�20�символов +1 +1 +1 +1 +1Пароль�должен�содержать�цифры � � � � �Пароль�должен�содержать�буквы � � � � �Пароль�должен�содержать�заглавные�буквы � � � � �Пароль�должен�содержать�специальные�символы � � � � �Пароль�не�должен�совпадать�с�логином +1 � � � �Пароль�не�должен�совпадать�с�почтой � � � � �Пароль�не�может�быть�похожим�на�логин�и/или�почту(логин�+�год,�заглавная�буква�в�почте�и�т.�п.)
� � � � �
Пароль�не�должен�быть�словарным +2 � � � �Сервис�дает�рекомендации�явно +1 � +1 +1 �Запрет�использования�специальных�символов � � � � �Сервис�строго�придерживается�своих�рекомендаций +0,5 +0,5 +0,5 +0,5 �Сервис�позволяет�установить�слабый�пароль � -1 -1 -1 -12FA � � � � �
� � � � �
Достижения
Достижения:
никаких�рекомендацийот�сервиса
разные�политики�при�регистрациии�смене
удалось�использовать�все�словарные�пароли
сервис�набрал�менее�4�баллов
на�почту�приходит�пароль�в�открытом�виде
Все�любят�развлекательные�ресурсы:�посмотреть�веселые�картинки,�поделиться�своим�творче-ством�и�мнением�–�словом,�приятно�провести�несколько�часов�своей�жизни.�В�общем�и�целом,�ценность�безопасности�аккаунтов�на�этих�ресурсах�сравнима�с�аккаунтами�на�новостных�сай-тах.�Однако�данные�ресурсы�куда�более�популярны:�количество�пользователей�Pikabu�превыша-ет�1,2�млн,�а�на�сайте�Reddit,�популярном�у�англоговорящих�пользователей,�свыше�36�млн.
Парольные�политики�данной�группы�сервисов�тоже�не�вызывают�доверия.�Лишь�один�сервис�«преодолел�черту�бедности»�в�нашей�балльной�системе.�Все�остальные�исследованные�сервисы�позволяли�использовать�словарные�пароли�и�не�применяли�никаких�проверок�к�устанавливае-мым�паролям.
Несмотря�на�все�это,�было�приятно�узнать�о�возможности�использовать�второй�фактор�защиты�на�некоторых�ресурсах.�
Итого:
5
4
3
2
1
-1
-2
-3
0 0
5
1
-2,5
-0,5
0,5
-1
45
46
Блоги и форумы
Требования к паролюTumblr Live�Journal Habr CyberForum FootBoom.com
Минимальная�длина�пароля�менее�6�символов � � � � -1Минимальная�длина�пароля�–�6-8�символов -0,5 -0,5 -0,5 -0,5 �Минимальная�длина�более�8�символов � � � � �Максимальная�длина�менее�20�символов � � � � �Максимальная�длина�более�20�символов +1 +1 +1 +1 +1Пароль�должен�содержать�цифры � +0,5 � � �Пароль�должен�содержать�буквы � +0,5 � � �Пароль�должен�содержать�заглавные�буквы � +0,5 � � �Пароль�должен�содержать�специальные�символы � � � � �Пароль�не�должен�совпадать�с�логином � +1 � � �Пароль�не�должен�совпадать�с�почтой � +1 � � �Пароль�не�может�быть�похожим�на�логин�и/или�почту(логин�+�год,�заглавная�буква�в�почте�и�т.�п.)
� +1 � � �
Пароль�не�должен�быть�словарным +2 +2 � � �Сервис�дает�рекомендации�явно � +1 +1 � �Запрет�использования�специальных�символов � -1 � � �Сервис�строго�придерживается�своих�рекомендаций � +0,5 +0,5 +0,5 +0,5Сервис�позволяет�установить�слабый�пароль � � -1 -1 -12FA +0.5 � � � �
sms,�app � � � �
Достижения �
Достижения:
никаких�рекомендацийот�сервиса
разные�политики�при�регистрациии�смене
удалось�использовать�все�словарные�пароли
сервис�набрал�менее�4�баллов
на�почту�приходит�пароль�в�открытом�виде
47
Блоги и форумы
Требования к паролюforum.mfd.ru ForumSport.ru linux.org.ru ForexDengi ZiSMO
Минимальная�длина�пароля�менее�6�символов � -1� �-1 �-1 -1Минимальная�длина�пароля�–�6-8�символов -0,5 �Минимальная�длина�более�8�символов � � � � �Максимальная�длина�менее�20�символов � � � � �Максимальная�длина�более�20�символов +1 +1 +1 +1 +1Пароль�должен�содержать�цифры � � +0,5 �Пароль�должен�содержать�буквы � � +0,5� �Пароль�должен�содержать�заглавные�буквы � � � �Пароль�должен�содержать�специальные�символы � � � � �Пароль�не�должен�совпадать�с�логином � � � �Пароль�не�должен�совпадать�с�почтой � � � �Пароль�не�может�быть�похожим�на�логин�и/или�почту(логин�+�год,�заглавная�буква�в�почте�и�т.�п.)
� � � �
Пароль�не�должен�быть�словарным � � �Сервис�дает�рекомендации�явно � -1 �Запрет�использования�специальных�символов � � -1� �Сервис�строго�придерживается�своих�рекомендаций � +0,5Сервис�позволяет�установить�слабый�пароль -1� �-1 -1 -1 -12FA � � � �
sms,�app � � � �
Достижения �
Достижения:
никаких�рекомендацийот�сервиса
разные�политики�при�регистрациии�смене
удалось�использовать�все�словарные�пароли
сервис�набрал�менее�4�баллов
на�почту�приходит�пароль�в�открытом�виде
48
Блоги�и�форумы�—�вещь�довольно�старая,�но�не�теряющая�актуальности.�Здесь�можно�обсу-дить�всё:�от�новинок�в�мире�IT�до�последних�новостей�спорта.
На�этот�раз�мы�решили�проверить�парольные�политики�в�этой�темной�стороне�интернета.
У�данной�группы�ресурсов�оценки�сравнимы�с�развлекательными�ресурсами.�Лишь�один�из�сервисов�предъявляет�ряд�требований�к�паролю.�Было�приятно�отметить,�что�все�сервисы�используют�одни�и�те�же�парольные�политики�как�при�регистрации,�так�и�при�смене�или�вос-становлении�пароля.
Практически�все�исследуемые�сервисы�предъявляли�неоправданно�мало�требований�к�паро-лям�пользователей�и�не�проверяли�их.�Такое�положение�дел�у�исследуемых�сервисов�можно�оправдать�желанием�не�отпугнуть�пользователей�большим�сводом�правил.�В�погоне�за�попу-лярностью�безопасность�отодвигается�на�второй�план.
Итого:
6
7
8
5
4
3
2
1
-1
0
7,5
0
1
-1
2,5
-0,5
Интернет-банкингВ�данном�исследовании�мы�не�обошли�стороной�и�интернет-банкинг.�Сейчас�любые�операции�с�банковскими�счетами�можно�совершать�онлайн�в�браузе-ре.� В� самых� популярных�онлайн-банках� на� сегодняшний� день� больше�мил-лиона�активных�пользователей.�Оно�и�понятно�—�это�быстро�и�удобно.�В�ос-новном,� для� подтверждения� операций� используются� одноразовые� пароли,�присылаемые�с�помощью�СМС,�а�иногда�–�электронно-цифровая�подпись�или�специальный�платежный�пароль.
Пароль�для� аккаунта�обычно�формирует� сам�банк�и� его�можно�получить� в�офисе�или�банкомате.�По� умолчанию�при�входе� в� аккаунт,� помимо�пароля,�требуется�дополнительный�код.�В�настройках�аккаунта�это�можно�отключить�(настоятельно�советуем�не�делать�этого).
Все�же�полагаться�только�на�пароль,�как�показало�исследование,�не�стоит.
В�данном�исследовании�нами�были�проверены�парольные�политики�десяти�самых�популярных�онлайн-банков.
При�смене�сформированного�банком�пароля�пользователю�придется�следо-вать� установленным� сервисом� парольным� политикам.� Самым� популярным�решением�сервисов�в�данном�случае�было�ограничение�на�длину�(минимум�6-8�символов,�максимум�больше�20).�Также�пароль�обязательно�должен�содер-жать�цифры�и�буквы.
Очень�удивил�один�знакомый�многим�онлайн-банк,�который�в�качестве�логина�использовал�номер�теле-фона�пользователя�и�позволял�установить�точно�такой�же�пароль.�При�этом�буквы�или�специальные�символы�использовать�в�пароле�вообще�запрещалось.
Помимо�прочего,�в�ходе�исследования�выяснилось,�что�не�все�сервисы�реализовали�проверку�совпадения�па-роля�с�логином�или�почтой.�Получилось�также�использо-вать�большую�часть�словарных�паролей.
В�целом,�уровень�качества�парольных�политик�у�иссле-дованных�сервисов�сравним�с�парольными�менеджерами�или�криптовалютными�сервисами.�Многим�из�них�также�недостает�функционала�проверки�на�совпадение�паро-лей�со�словарными�и�рекомендаций�использовать�за-главные�или�спецсимволы.
Логично�было�бы�предположить,�что�уж�сервисы�ин-тернет-банкинга�будут�внимательнее�всех�относиться�к�безопасности�аккаунтов�своих�пользователей.�Конечно,�одноразовые�коды�подтверждения�по�смс�—�это�хорошо,�но�только�пока�телефон�в�ваших�руках.�Картина�осталась�прежней:�использование�надежного�пароля�до�сих�пор�является�частной�инициативой.
49
Выводы
Далее� наглядно� демонстрируется,� какие� сервисы� больше� всего�беспокоятся� о� защите� аккаунтов� своих� пользователей,� буквально�заставляя� их� создавать� и� использовать� сложные� пароли.� Здесь� же�присутствуют�и�антирекордсмены�нашего�рейтинга,�которые�в�погоне�за�популярностью�забывают�о�безопасности.
На�этот�раз�победителем�можно�признать�почтовые�сервисы,�второе�место� принадлежит� ресурсам� криптовалюты,� а� бронза� досталась�сервисам�интернет-банкинга.�Последние�строчки�рейтинга�достались�новостным�и�развлекательным�ресурсам,�блогам�и�форумам.
50
51
Тип сервиса Количествотестируемых сервисов
Среднийбалл
Количестводостижений
Лучшийв своей группе
Худшийв своей группе
Почтовыесервисы 12 5,7 10
Криптовалюта 12 5 6
Интернет-банкинг 10 4,5 5 – –
Парольныеменеджеры 13 4,3 12
Игровыесервисы 12 4,2 11
Платежныесервисы 9 4,1 7
Социальныесети 14 2,9 27
Совместнаяразработка 10 2,4 15
Хранение�данных 10 2,3 15
Электроннаякоммерция 17 1,5 28
Хостинг 10 1,4 20
Блоги�и�форумы 10 0,8 24
Развлекательныересурсы 11 0,6 22
Новостныесервисы 7 0 18
52
Общие итогиНе� всегда� даже� самые� крупные� сервисы� уделяют� достаточное�внимание�защите�от�создания�простых�паролей,�а�значит,�и�без-опасности� аккаунтов� пользователей.� Лишь� единицы� из� самых�популярных�ресурсов�интернета�предъявляют�серьезные�требо-вания�к�аутентификации.
В� ходе�исследования�победителями�оказались�широко�извест-ные� ресурсы:� Outlook,� Facebook,� PlayStation� Network,� iCloud,�digital�ocean�и�Live� Journal.�Однако�большинство�проиграло.�Ни�один�из�победивших�ресурсов�прошлого�исследования�не�смог�закрепиться�на�пьедестале.
В�ежедневных�сводках�утечек�информации�присутствуют�даже�специализированные�ресурсы,�на�которых�публикуются�аккаун-ты�пользователей�тех�или�иных�сервисов,�специализированные�скрипты�для�брутфорса�учетных�записей�и�многое�другое.
Такое� отношение� к� безопасной� аутентификации�можно� объяс-нить� погоней� сервисов� за� аудиторией.� Здесь� необходимо� вы-брать�«золотую�середину»:�слишком�сложные�правила�заставят�потратить�ощутимо�больше�времени�на�регистрацию,�что�может�отпугнуть� пользователя.� С� другой� стороны,� полное� отсутствие�политик� обязательно� повлечет� за� собой� возникновение� инци-дентов�безопасности.
Впрочем,�как�бы�ни�старались�разработчики�сервисов,�если�пользователь�сам�не�будет�заботиться�о�своей�защите,�ему�ни-кто�не�поможет.
Не� стоит� недооценивать� необходимость� в� безопасности� аккаунта.�Любая�информация�может�стать�орудием�в�руках�опытного�злоумыш-ленника.�Возможно�чтение�приватной�переписки,�использование�ак-каунта�для�фишинговых�атак�и�многое�другое.�В�частности,�взлом�по-чтовых�аккаунтов�может�привести�к�компрометации�всех�сервисов,�которые�к�ним�привязаны.�Да,�есть�сервисы,�на�которых�не�размеще-но�какой-либо�критичной�информации.�Но�обычно�на�таких�сервисах�чаще�всего�происходят�утечки�данных,�и,�если�вы�используете�одина-ковые�пароли,�это�может�привести�к�серьезным�последствиям.
«Данные на этом сайтене несут никакой ценности»
Совершенно� противопоказано� использовать� один� пароль� на� раз-ных�сервисах.�Если�вдруг�взломают�один,�взломают�и�все�остальные.�Например,�как�только�в�сети�публикуется�база�паролей�по�адресам�электронной� почты,� тут�же� проверяются� пароли� от� аккаунтов� соц-сетей,�зарегистрированных�на�этот�адрес,�от�Apple�ID,�и�так�далее�—�более�чем�в�половине�случаев�пароли�оказываются�совпадающими.
«Придумаю сложный пароль и буду его везде использовать, либо добавлять к нему пару символов»
Популярные заблуждения пользователей
Нередко�требование�включить�заглавную�букву,�цифры�и�увели-чить�длину� хотя�бы�до�8� символов�выливается�в�использование�Qwerty123�и�подобных�комбинаций.�Статистика�показывает,�что�в�90%� случаев� пользователь� в� качестве� заглавной� буквы� возьмет�1-й�символ�пароля.�А� с�вероятностью�50%�каждый�придуманный�самостоятельно� пароль� попадает� в� 13� самых� распространенных�масок�для�атаки�перебором.
«Больше разных символов— и пароль уже безопасен»
Отчасти� это� так,� но� не� стоит� гнаться� за� длиной,� если� ваш� пароль�состоит�исключительно�из�цифр,�например.�Попробуйте�создать�не�очень� длинный� (от� 8� символов),� но� сложный�пароль,� состоящий�из�цифр,�букв�верхнего�и�нижнего�регистра,�а�также�специальных�сим-волов.�Постарайтесь�при�этом�не�пользоваться�популярным�располо-жением�(заглавная�первая�буква,�в�конце�специальный�символ).
«Чем длиннее пароль,тем надежнее!»
53
54
Советы пользователю• Пароль�должен�быть�длинным�(желательно�больше�10�символов).
• Пароль�должен�содержать�строчные�и�заглавные�буквы,�цифры�и�спецсимволы.
• Пароль�не�должен�быть�похожим�на�логин�или�почту�пользователя.
• Пароль�не�должен�быть�похожим�на�словарные�пароли.
• Пароли,�состоящие�из�символов,�а�не�слов,�являются�более�безопасными.
• Чаще�меняйте�свои�пароли.
• Чем�важнее�аккаунт,�тем�чаще�должен�меняться�пароль�(интернет-банкинг,�почта,�платежные�сервисы).
• Используйте�разные�пароли�для�разных�сервисов.
• Постарайтесь�не�использовать�очевидные�слова�и�фразы�(например,�password�или�moyparol)�или�стандартные�последовательности�символов�(qwerty,�12345,�abcd).
Если�использовать�одну�и�ту�же�комбинацию�символов�везде,�компрометация�одного� аккаунта� может� привести� к� компрометации� всех� пользовательских�сервисов.�
При�этом�далеко�не�у�всех�даже�крупных�сервисов�поддерживается�двухфак-торная�аутентификация,�и�на�дополнительную�защиту�надеяться�не�стоит.
Хорошим�вариантом�будет�использовать�парольные�фразы.�Это�более�длинный,�сложный�и,�теоретически,�более�надёжный�вариант�пароля,�поскольку�может�со-держать�в�себе�заглавные�символы,�спецсимволы�(знаки�препинания)�и�цифры.�Обычно�состоящая�из�нескольких�слов,�парольная�фраза�гораздо�надежнее�против�стан-дартных�атак�по�словарю.�Или�можно�воспользоваться�советом�от�Mozilla.
55
Контакты: Москва,�ул.�Ленинская�Слобода�26,бизнес-центр�«Omega-2»,�корпус�C
[email protected]�+7�(495)�223-07-86
Cоветы разработчику сервиса1. Выдвигать�жесткие�требования�к�пользовательскому�паролю:
• Больше�8�символов�длиной
• Длина�не�ограничена
• Пароль�должен�содержать�цифры,�заглавные�и�строчные�буквы�и�спецсимволы
• Пароль�не�должен�быть�похожим�на�логин
2. Сервис�должен�также�давать�общие�рекомендации�пользователям.
3. Строго�придерживаться�выдвигаемых�правил.
4. Не�позволять�регистрироваться�со�словарными�паролями�(например,�с�использованными�в�этом�исследовании).
5. Сервис�должен�иметь�базу�словарных�паролей.
6. Рекомендуется�использовать�для�проверки�большую�базу�стандартных�комбинаций.
Пример:�пароль�P@ssword123.�Сайт�показывает,�что�на�его�взлом�потребует-ся�4000�лет.�На�самом�же�деле,�если�использовать�хороший�словарь,�время�подбора�будет�исчисляться�минутами.