Nghiên cứu: Hầu hết các website đều mắc phải lỗi nghiêm trọng về bảo mật mật khẩu

Ngoc Huynh

Mật khẩu là điều cốt yếu của bảo mật. Nhưng đồng thời, nó cũng có thể là gót chân Achilles của bảo mật thông tin, đặc biệt nếu người dùng không cẩn thận với các thông tin của họ hoặc nếu một trang web quản lý hoặc lưu trữ mật khẩu không đúng cách.

Dashlane, công ty đã tạo ta ứng dụng quản lý mật khẩu cùng tên, hôm nay đã công bố khảo sát Xếp hạng Mức độ bảo mật của mật khẩu (Password Power Rankings) của mình. Cuộc khảo sát nghiên cứu thói quen bảo mật mật khẩu của những đối tượng khách hàng lớn, công ty cung cấp dịch vụ phần mềm và đa phương tiện, và kết quả đã khiến nhiều người khá sốc.

Gần một nửa (chính xác là 46%) website khách hàng đã không thực hiện những chính sách bảo mật thô sơ nhất. Con số các trang web doanh nghiệp tương tự là 36%, đáng kinh ngạc là cũng có Amazon Web Services.

Các trang web được xếp hạng từ 0 tới 5, trong đó 0 là mức thấp nhất và 5 là mức tốt nhất, và 3 là số điểm tạm chấp nhận được. Các tiêu chí xếp hạng Dashlane đặt ra bao gồm:

• Độ dài mật khẩu: Trang web có yêu cầu mật khẩu hơn 8 ký tự không?
• Mức độ phức tạp của mật khẩu: Trang web có ngăn người dùng tạo những mật khẩu siêu tối giản như “aaaaa” hay “111111” không? Đáng kinh ngạc, các nhà nghiên cứu phát hiện ra một số trang web cho phép tạo mật khẩu với chỉ một ký tự “a” duy nhất, trong đó có Amazon, Google, Instagram và Venmo.
• Thông báo mức độ bảo mật của mật khẩu: Trang web có thông báo cho người dùng đánh giá về mức độ bảo mật của mật khẩu sắp tạo hay không?
• Brute Force: Sau 10 lần thử thất bại, website có thực hiện hành động nào để ngăn chặn một cuộc tấn công brute force (kỹ thuật đoán thử đúng sai liên tục để hack mật khẩu) hoặc khóa tài khoản hay không?
• Xác nhận 2 bước: Website có yêu cầu người dùng xác nhận danh tính qua token gửi qua SMS hay dùng ứng dụng xác nhận hay không?

Về phía người tiêu dùng, chỉ một trang web đạt số điểm tuyệt đối, đó là GoDaddy – một nền tảng web hosting nổi tiếng. Các trang khác phổ biến khác đạt điểm số chấp nhận được bao gồm Apple, Microsoft, Tumblr, Paypal, Reddit và Slack.

Đáng buồn là các trang web Netflix, Pandora, Spotify và Uber đều đạt 0 điểm. Đồng nghĩa với việc, theo tiêu chí của Dashlane, các trang này không áp dụng bất kỳ tính năng bảo mật mật khẩu nào được liệt kê trong danh sách trên.

Về phía các trang web doanh nghiệp, Stripe và QuickBooks là 2 websites đạt số điểm tuyệt đối. Dù không có trang nào bị điểm 0, nhưng những dịch vụ nổi tiếng như Amazon Web Services và FreshBooks đều đạt 1 điểm.

Tuy nhiên, các cuộc khảo sát như thế này sẽ không bao giờ có thể cho bạn biết toàn bộ câu chuyện về cách các trang web đang đảm bảo sự an toàn của mật khẩu như thế nào. Không có một sự xác thực hai nhân tố nào có thể ngăn chặn một hacker quét các thông tin quan trọng của bạn lên PasteBin, nếu mật khẩu được lưu trữ trong plaintext và có SQLi chưa được vá ở đâu đó. Điều đó cho thấy rằng, có vẻ như không chắc các công ty sẽ tiết lộ một chút để cho bạn biết các ứng dụng web của họ làm việc như thế nào.

Chia sẻ bài viết ngay

Nguồn bài viết : https://thenextweb.com