شنبه , ۲۶ آبان ۱۳۹۷

چه کسی از رمزعبور من محافظت می‌کند ؟

 

1211

طبق یک تحقیق درباره صد سایت نخست تجارت الکترونیک اپل، مایکروسافت، Chegg ،Newegg و Target بهترین فعالیت را در زمینه محافظت از رمز‌عبور مشتری انجام می‌دهند. همین پژوهش نشان می‌دهد که Major League Baseball ،Karmaloop ،Dick’s Sporting Goods ،Toys R Us و Aeropostale بدترین سایت‌ها در این زمینه هستند.

apple.com تنها سایتی است که امتیاز کامل 100 را کسب کرده ‌است. امتیازدهی بر‌اساس 24 معیار مختلف انجام شده ‌است، از جمله این‌که آیا سایت رمزهای ضعیفی مانند 123456 را می‌پذیرد یا نه یا این‌که آیا رمزعبور را در قالب متن عادی ایمیل می‌کند یا خیر.
مایکروسافت و سایت منابع آکادمیک Chegg با امتیاز 65 در مقام دوم و Newegg و Target با 60 امتیاز مقام سوم را کسب کرده‌اند. در مقابل، MLB امتیاز 75-، Karmaloop امتیاز 70-، Dick’s Sporting Goods هم 65- و Toys R US نیز امتیازی برابر با 60- کسب کرده‌اند. هر سایت بر‌اساس هر ملاک موجود امتیاز کسب کرده یا از امتیازاتش کاسته شده است که منجر به کسب امتیازی بین 100- تا 100 شده‌است. پژوهش توسط محققان Dashlane انجام شده در زمینه مدیریت رمزعبور فعال است. این تحقیق براساس سیاست‌های مؤثر در امنیت رمز‌عبور در صد سایت برتر تجارت الکترونیک از 17 تا 22 ژانویه انجام شده است .

اپیدمی رمزهای ضعیف
عجیب است که 55 درصد از سایت‌ها رمزهای ضعیفی همچون 123456 یا password را قبول کرده‌اند و Toys R US، J.Crew، 1-800-Flowers.com و پنج سایت دیگر رمزعبور را در قالب متن عادی ایمیل کرده‌اند. 61 سایت به هنگام ایجاد اکانت هیچ توصیه‌ای برای ایجاد یک رمزعبور قوی ارائه نداده‌اند، در حالی که فقط هفت سایت یک نوع سنجه نمایش داده‌اند تا کاربر میزان قدرت رمز انتخابی خود را تشخیص دهد.
نتایج تحقیقات و نفوذ به سایت‌ها در گذشته نشان می‌دهد که درصد زیادی از مردم از یک رمز یکسان برای اکانت‌های مختلف استفاده می‌کنند. به این ترتیب، یک سایت با دادن اجازه انتخاب رمز ضعیف به کاربر، موجب می‌شود که کاربر دچار یک اپیدمی امنیت ضعیف شود که می‌تواند او را سایت به سایت دنبال کند. برعکس، سایت‌ها با پی‌گیری تعدادی سیاست ساده می‌توانند این روند را بشکنند. این سیاست‌ها شامل موارد مختلفی می‌شود، از جمله الزام انتخاب رمزی با حداقل هشت کاراکتر شامل ترکیبی از حرف، عدد و نشانه، بلوکه کردن دسترسی به اکانت پس از چهار بار تلاش ناموفق ورود، ارائه کمک برای انتخاب رمز قدرتمند و ارائه یک سنجه برای نمایش میزان قدرت رمز عبور.
طبق نوشته مسئولان Dashlane: «ممکن است برخی فروشنده‌ها عقیده داشته باشند که چنین الزاماتی مزاحم آسایش کاربر می‌شود، اما شرکت‌هایی مانند اپل، که طبق گفته برخی محبوب‌ترین برند در فهرست است، نشان می‌دهد که امکان‌پذیر است که هم امن بود و هم موفق.» در ادامه این متن ذکر می‌شود: «در هر دسته‌ای که آزمایش کردیم، اپل چهار سیاست و رویه‌ای را که در بالا توصیه کردیم، به کار گرفت. سیاست‌هایی که نتیجه به کار گرفتن آن‌ها باعث می‌شود یک سایت تنها سایتی باشد که امتیاز کامل را در این پژوهش از آن خود کند.»
چند معیار در تحقیق Dashlane وجود دارد که جای بحث دارند. نخست، قفل کردن یک اکانت پس از چهار تلاش ورود ناموفق کاربران را در معرض حمله‌های Dos قرار می‌دهد که اجرای آن‌ها بسیار ساده است. فراتر از این، انواع محافظت‌های مرسوم برای جلوگیری از حمله‌های حدس زدن رمز عبور همیشه برای کاربر نهایی واضح نیستند. این‌که محققان Dashlane سایت آمازون و دیگران را در زمره سایت‌هایی قرار نداده‌اند که کاری برای محدود کردن تلاش‌های ورود انجام نمی‌دهند، لزوماً به این معنا نیست که آن‌ها هیچ کاری برای جلوگیری از حمله‌های نفوذی آنلاین انجام نمی‌دهند. این تحقیق همچنین چند معیار را که برای محافظت از رمز عبور حیاتی هستند مورد قضاوت قرار نداده است. به‌عنوان نمونه، آیا هیچ کدام از سایت‌ها به کاربران اجازه می‌دهد رمز خود را از طریق اتصال HTTP رمزنگاری‌نشده وارد کنند؟ آیا لینک‌های ریسِت رمزعبور به‌صورت HTTP در دسترس قرار می‌گیرند؟ آیا هیچ کدام از این سایت‌ها به کاربران اجازه می‌دهد با استفاده از پرسش‌های امنیتی‌ای رمزعبور را ریست کنند که حدس زدن پاسخ آن‌ها آسان است؟ آیا رمزهای عبور به هنگام ذخیره شدن در پایگاه داده با استفاده از الگوریتم‌هایی همچون PBKDF2 هش می‌شوند؟ علاوه‌بر این، بسیاری از سنجه‌هایی که قدرت رمز عبور کاربر را می‌سنجند ارزش انرژی صرف‌شده را ندارند. یک سنجه ضعیف اجرا شده با ایجاد دیدگاه اشتباه در کاربر نسبت به رمز قوی به او زیان می‌رساند و محققان Dashlane هیچ کاری برای جدا کردن انواع مؤثر از نمونه‌های غیرمؤثر انجام نداده‌اند. همچنین چیزی که غیبتش به چشم می‌آید معیاری است درباره این‌که کدام سایت تصدیق دوفاکتوری ارائه می‌دهد.
با این حال، این پژوهش هنوز مفید است زیرا در میان نخستین نمونه‌هایی قرار می‌گیرد که سیاست‌های مربوط به رمزعبور را موشکافی می‌کنند؛ مسئله‌ای که تأثیر شگرفی بر قدرت رمزعبورهای اینترنتی دارد. امیدواریم که Dashlane و محققان دیگر تحلیل‌های دیگری در ادامه این مورد ارائه دهند. جالب خواهد بود که بدانیم آیا رده‌بندی سایت‌ها در طول زمان تغییر خواهد کرد یا نه.

منبع : ماهنامه شبکه

Print Friendly, PDF & Email

جوابی بنویسید

ایمیل شما نشر نخواهد شدخانه های ضروری نشانه گذاری شده است. *

*