Tri od četiri najpopularnije veb lokacije na svetu dovode desetine miliona korisnika i njihove podatke u opasnost neispunjavanjem minimalnih standarda za lozinku.
Nalazi su deo nove studije o sajber bezbednosti Georgia Tech koja ispituje trenutno stanje politika lozinki širom interneta.
Koristeći prvi automatizovani alat ove vrste koji može da proceni politiku kreiranja lozinki na veb lokaciji, istraživači su takođe otkrili da 12% veb lokacija u potpunosti nema zahteve za dužinu lozinke.
docent Frank Li i dr. student Suood Al Roomi sa Škole za sajber bezbednost i privatnost Georgia Tech-a napravio je automatizovani alat za procenu kako bi istražio Izveštaj o korisničkom iskustvu Google Chrome-a (CrUKS), bazu podataka od milion veb lokacija i stranica.
Studija je zasnovana na 20.000 nasumično uzorkovanih veb lokacija iz CrUKS baze podataka i pokazala je da mnogi sajtovi:
- Dozvoljavaju vrlo kratke lozinke
- Ne blokiraju uobičajene lozinke
- Koriste zastarele zahteve poput složenih znakova.
Istraživači su takođe otkrili da samo nekoliko lokacija u potpunosti sledi standardne smernice, dok se većina pridržava zastarelih smernica iz 2004. Projekat je bio 135 puta veći od prethodnih radova koji su se oslanjali na ručne metode i manje veličine uzoraka.
Više od polovine veb lokacija u studiji prihvatilo je lozinke sa šest znakova ili manje, a 75% nije zahtevalo preporučeni minimum od osam znakova. Oko 12% nije imalo zahteve za dužinu, a 30% nije podržavalo razmake ili specijalne znakove.
Samo 12% proučenih veb lokacija primenilo je listu blokiranja lozinki, što znači da je više od 17.000 sajtova bilo ranjivo na sajber kriminalce koji bi mogli da pokušaju da koriste uobičajene lozinke za provalu u korisnički nalog, takođe poznat kao napad prskanjem lozinki.
„I profesor Li i ja smo bili uzbuđeni što smo prihvatili izazov“, rekao je Al Roomi. „Uz njegovo vođstvo i naš kontinuirani rad na dizajnu algoritma i tehnici merenja, uspeli smo da u potpunosti razvijemo automatizovano merenje politike kreiranja lozinki i primenimo je u velikom obimu.“
Al Roomi i Li dizajnirali su algoritam koji automatski određuje politiku lozinke za veb lokaciju. Uz pomoć mašinskog učenja, par je mogao da vidi doslednost zahteva dužine i ograničenja za brojeve, velika i mala slova, posebne simbole, kombinacije i početna slova. Takođe su mogli da vide da li sajtovi dozvoljavaju reči iz rečnika ili poznate provaljene lozinke.
„Kao bezbednosna zajednica, identifikovali smo i razvili različita rešenja i najbolje prakse za poboljšanje internet i veb bezbednosti“, rekao je Li. „Ključno je da istražimo da li su ta rešenja ili smernice zaista usvojene u praksi da bismo razumeli da li se bezbednost poboljšava u stvarnosti.
Projekat je počeo u jeku pandemije kada je Al Roomi pronašao prazninu u istraživačkoj literaturi koja se odnosi na politiku lozinki za veb lokaciju. Kroz svoje čitanje, otkrio je da konsenzus njegovih vršnjaka ne misli da je moguće opsežno istraživanje politika lozinki zbog raznovrsnosti veb dizajna.
„Bilo je uzbudljivo videti identifikovani izazov u literaturi i razviti i primeniti viziju koju smo pretvorili u alat za merenje“, rekao je Al Roomi. „Ovo istraživanje je bilo moje prvo u mom doktorskom programu na Georgia Tech i SCP. To je jedan od najizazovnijih, ali nagrađivanih poduhvata na kojima sam radio.“
Kompletan izveštaj će biti predstavljen na ACM konferenciji o bezbednosti računara i komunikacija (CCS) u Kopenhagenu, Danska, kasnije ovog meseca. Članak „Veliko merenje pravila za prijavu na veb lokaciju“ takođe je prihvaćen na 32. USENIKS bezbednosnom simpozijumu ranije ove godine.“