根据英国剑桥大学的两名研究人员对受密码保护网站的调查发现,由于网站缺乏密码设置安全标准,可能会威胁最终用户的安全。
安全性较低的网站的密码可能会破坏安全性较高网站的安全性,因为用户经常都使用相同密码。
攻击者可以利用安全性较低网站(例如新闻网站)来获取与电子邮箱地址相关的密码,然后使用这些密码来访问较高安全级别的网站,例如电子商务供应商网站等。
研究人员收集了150个网站的数据,发现存在严重安全问题。
研究人员并没有责怪用户为不同网站帐户使用相同密码或者使用容易被猜到的密码,因为大多数用户拥有太多网络帐户,很难管理所有帐户的安全。
网站都要求使用密码登录是造成安全威胁的根源问题,这使用户很难记住各个帐户的密码,而致使他们使用重复密码。
约有78%的网站没有对用户密码强度进行审查或者向用户建议使用高强度密码。只有五个网站要求用户选择密码提示问题,这种方式能够鼓励用户采用较复杂的密码。而只有七个网站要求用户使用数字和字母组合作为密码,只要两个网站要求密码必须保护非字母字符。
这两名研究人员还了解到当用户登录时密码被提交到服务器过程中存在的普遍问题,只有三个网站使用了防止服务器接收用户纯文本密码登陆的技术,而其中两个网站允许注册时使用纯文本密码。
大多数网站(总共126个网站)似乎都允许无限次数猜测密码,研究人员使用脚本进行100次密码猜测,而在此之后输入正确密码仍然能够成功登录,这表明大多数网站都没有防范密码猜测攻击。
总体而言,密码安全设置最佳做法完全被行业所忽略,一半以上的网站没有使用TLS(传输层安全)来保护密码在每个阶段的传输,有些网站在注册时使用了传输层安全,而在登录或者更新时则没有使用。
83%的网站允许对用户帐户进行无限次数的密码猜测。
安全性最差的网站就是以新闻信息为主的网站,例如新闻网站,这些网站往往不会存储重要用户信息,而相反地,存储支付详细信息的网站则有较强的安全性。
虽然密码设置安全做法不恰当,为什么很多网站仍然要收集密码呢?那些部署了较差密码设置安全做法的网站似乎也很喜欢收集用户的电子邮件和个人数据。
用户若想确保重要帐户的安全,最好使用高强度复杂密码,且与其他一般网站帐户没有任何关联的密码。
网友评论