Крупнейшие интернет-сервисы не уделяют должного внимания парольным политикам, выяснил Иван Юшкевич, исследователь Digital Security, проанализировав 80 крупнейших ресурсов различного назначения: почтовые сервисы, социальные сети, электронная коммерция, платежные сервисы, игровые сервисы, криптовалюта, хранение файлов и совместная разработка.
В большинстве случаев существующие настройки ресурсов дают пользователю возможность обойтись комбинацией цифр и букв, которую легко может подобрать злоумышленник. Меньше других о безопасности своих подписчиков заботятся файловые хранилища и социальные сети. Также слабые парольные политики применяют игровые ресурсы, сервисы электронной коммерции и отдельные почтовые системы.
Строгий подход к выбору пароля применяют сервисы криптовалюты, платежные системы и отдельные «почтовики».
Исследование показало, что только 2 из 10 широко известных ресурсов разного профиля используют строгую политику аутентификации. Лучшими оказались такие популярные ресурсы, как Gmail, Apple Store, MEGA, WebMoney, eBay. Самые слабые парольные политики — у социальной сети Meetme, почтового сервиса Pobox, виртуальных магазинов Aliexpress и Alibaba, а также файловых хранилищ Justcloud и Box.
Подобрав пароль и получив доступ к чужому аккаунту, злоумышленник иногда может завладеть ценной информацией: персональные данные, платежные данные (история операций, платежная информация), переписка, включающая файлы с копиями паспортов, приватные фотографии и другие критичные документы. Далеко не у всех, даже крупных, сервисов поддерживается двухэтапная аутентификация, и на дополнительную защиту надеяться не стоит.
Компрометация даже одного аккаунта может привести к взлому более критичных данных того же пользователя (многие применяют один пароль для разных сервисов). Помимо этого, через почтовый ящик возможен доступ к разным ресурсам, которые привязаны к нему с помощью функционала восстановления пароля. Цепочка аккаунтов может рухнуть, как карточный домик, если, допустим, будет восстановлен пароль к аккаунту в соцсети, а через него успешно совершена авторизация на тех сайтах, которые используют для аутентификации страницу пользователя в Facebook, «ВКонтакте», LinkedIn.
