طبق یک تحقیق درباره صد سایت نخست تجارت الکترونیک اپل، مایکروسافت، Chegg ،Newegg و Target بهترین فعالیت را در زمینه محافظت از رمزعبور مشتری انجام میدهند. همین پژوهش نشان میدهد که Major League Baseball ،Karmaloop ،Dick’s Sporting Goods ،Toys R Us و Aeropostale بدترین سایتها در این زمینه هستند.
apple.com تنها سایتی است که امتیاز کامل 100 را کسب کرده است. امتیازدهی براساس 24 معیار مختلف انجام شده است، از جمله اینکه آیا سایت رمزهای ضعیفی مانند 123456 را میپذیرد یا نه یا اینکه آیا رمزعبور را در قالب متن عادی ایمیل میکند یا خیر.
مایکروسافت و سایت منابع آکادمیک Chegg با امتیاز 65 در مقام دوم و Newegg و Target با 60 امتیاز مقام سوم را کسب کردهاند. در مقابل، MLB امتیاز 75-، Karmaloop امتیاز 70-، Dick’s Sporting Goods هم 65- و Toys R US نیز امتیازی برابر با 60- کسب کردهاند. هر سایت براساس هر ملاک موجود امتیاز کسب کرده یا از امتیازاتش کاسته شده است که منجر به کسب امتیازی بین 100- تا 100 شدهاست. پژوهش توسط محققان Dashlane انجام شده در زمینه مدیریت رمزعبور فعال است. این تحقیق براساس سیاستهای مؤثر در امنیت رمزعبور در صد سایت برتر تجارت الکترونیک از 17 تا 22 ژانویه انجام شده است (فهرست1).
براي بزرگنمايي تصوير روي آن کليک کنيد
اپیدمی رمزهای ضعیف
عجیب است که 55 درصد از سایتها رمزهای ضعیفی همچون 123456 یا password را قبول کردهاند و Toys R US، J.Crew، 1-800-Flowers.com و پنج سایت دیگر رمزعبور را در قالب متن عادی ایمیل کردهاند. 61 سایت به هنگام ایجاد اکانت هیچ توصیهای برای ایجاد یک رمزعبور قوی ارائه ندادهاند، در حالی که فقط هفت سایت یک نوع سنجه نمایش دادهاند تا کاربر میزان قدرت رمز انتخابی خود را تشخیص دهد.
نتایج تحقیقات و نفوذ به سایتها در گذشته نشان میدهد که درصد زیادی از مردم از یک رمز یکسان برای اکانتهای مختلف استفاده میکنند. به این ترتیب، یک سایت با دادن اجازه انتخاب رمز ضعیف به کاربر، موجب میشود که کاربر دچار یک اپیدمی امنیت ضعیف شود که میتواند او را سایت به سایت دنبال کند. برعکس، سایتها با پیگیری تعدادی سیاست ساده میتوانند این روند را بشکنند. این سیاستها شامل موارد مختلفی میشود، از جمله الزام انتخاب رمزی با حداقل هشت کاراکتر شامل ترکیبی از حرف، عدد و نشانه، بلوکه کردن دسترسی به اکانت پس از چهار بار تلاش ناموفق ورود، ارائه کمک برای انتخاب رمز قدرتمند و ارائه یک سنجه برای نمایش میزان قدرت رمز عبور.
طبق نوشته مسئولان Dashlane: «ممکن است برخی فروشندهها عقیده داشته باشند که چنین الزاماتی مزاحم آسایش کاربر میشود، اما شرکتهایی مانند اپل، که طبق گفته برخی محبوبترین برند در فهرست است، نشان میدهد که امکانپذیر است که هم امن بود و هم موفق.» در ادامه این متن ذکر میشود: «در هر دستهای که آزمایش کردیم، اپل چهار سیاست و رویهای را که در بالا توصیه کردیم، به کار گرفت. سیاستهایی که نتیجه به کار گرفتن آنها باعث میشود یک سایت تنها سایتی باشد که امتیاز کامل را در این پژوهش از آن خود کند.»
چند معیار در تحقیق Dashlane وجود دارد که جای بحث دارند. نخست، قفل کردن یک اکانت پس از چهار تلاش ورود ناموفق کاربران را در معرض حملههای Dos قرار میدهد که اجرای آنها بسیار ساده است. فراتر از این، انواع محافظتهای مرسوم برای جلوگیری از حملههای حدس زدن رمز عبور همیشه برای کاربر نهایی واضح نیستند. اینکه محققان Dashlane سایت آمازون و دیگران را در زمره سایتهایی قرار ندادهاند که کاری برای محدود کردن تلاشهای ورود انجام نمیدهند، لزوماً به این معنا نیست که آنها هیچ کاری برای جلوگیری از حملههای نفوذی آنلاین انجام نمیدهند. این تحقیق همچنین چند معیار را که برای محافظت از رمز عبور حیاتی هستند مورد قضاوت قرار نداده است. بهعنوان نمونه، آیا هیچ کدام از سایتها به کاربران اجازه میدهد رمز خود را از طریق اتصال HTTP رمزنگارینشده وارد کنند؟ آیا لینکهای ریسِت رمزعبور بهصورت HTTP در دسترس قرار میگیرند؟ آیا هیچ کدام از این سایتها به کاربران اجازه میدهد با استفاده از پرسشهای امنیتیای رمزعبور را ریست کنند که حدس زدن پاسخ آنها آسان است؟ آیا رمزهای عبور به هنگام ذخیره شدن در پایگاه داده با استفاده از الگوریتمهایی همچون PBKDF2 هش میشوند؟ علاوهبر این، بسیاری از سنجههایی که قدرت رمز عبور کاربر را میسنجند ارزش انرژی صرفشده را ندارند. یک سنجه ضعیف اجرا شده با ایجاد دیدگاه اشتباه در کاربر نسبت به رمز قوی به او زیان میرساند و محققان Dashlane هیچ کاری برای جدا کردن انواع مؤثر از نمونههای غیرمؤثر انجام ندادهاند. همچنین چیزی که غیبتش به چشم میآید معیاری است درباره اینکه کدام سایت تصدیق دوفاکتوری ارائه میدهد.
با این حال، این پژوهش هنوز مفید است زیرا در میان نخستین نمونههایی قرار میگیرد که سیاستهای مربوط به رمزعبور را موشکافی میکنند؛ مسئلهای که تأثیر شگرفی بر قدرت رمزعبورهای اینترنتی دارد. امیدواریم که Dashlane و محققان دیگر تحلیلهای دیگری در ادامه این مورد ارائه دهند. جالب خواهد بود که بدانیم آیا ردهبندی سایتها در طول زمان تغییر خواهد کرد یا نه.