全球四分之三最受欢迎的网站未能达到最低密码要求标准,导致数千万用户及其数据面临风险。
这些发现是佐治亚理工学院一项新的网络安全研究的一部分,该研究调查了互联网上密码政策的现状。
研究人员还发现,使用首个可以评估网站密码创建策略的自动化工具,12%的网站完全没有密码长度要求。
乔治亚理工学院网络安全和隐私学院的助理教授Frank Li和博士生Suood Al Roomi创建了自动评估工具来探索b谷歌Chrome用户体验报告(CrUX),这是一个包含100万个网站和页面的数据库。
这项研究是基于从CrUX数据库中随机抽取的2万个网站,并表明许多网站:
允许使用非常短的密码。
不要屏蔽常用密码。
使用过时的要求,比如复杂的字符。
研究人员还发现,只有少数网站完全遵循标准指南,而大多数网站坚持2004年的过时指南。该项目比以前依靠手工方法和较小样本量的工作大135倍。
研究中,超过一半的网站接受6个字符或更少的密码,75%的网站没有要求最少8个字符的密码。大约12%没有长度要求,30%不支持空格或特殊字符。
研究中只有12%的网站实施了密码屏蔽列表,这意味着超过1.7万个网站容易受到网络犯罪分子的攻击,他们可能会试图使用普通密码进入用户的账户,也就是所谓的密码喷洒攻击。
“李教授和我都很兴奋能接受这个挑战,”Al Roomi说。“在他的指导下,以及我们在算法设计和测量技术方面的持续工作,我们能够完全开发出密码创建策略的自动化测量,并大规模应用。”
Al Roomi和Li设计了一种算法,可以自动确定网站的密码策略。在机器学习的帮助下,两人可以看到数字、大写字母和小写字母、特殊符号、组合和起始字母的长度要求和限制的一致性。他们还可以查看网站是否允许使用字典中的单词或已知的泄露密码。
“作为一个安全社区,我们已经确定并开发了各种解决方案和最佳实践,以提高互联网和网络安全,”李说。“至关重要的是,我们要调查这些解决方案或指导方针是否在实践中得到了采纳,以了解现实中安全性是否得到了改善。”
该项目始于疫情最严重时期,当时Al Roomi发现了有关网站密码政策的研究文献中的空白。通过阅读,他发现同行们一致认为,由于网页设计的多样性,不可能对密码策略进行大规模调查。
Al Roomi说:“在文献中看到一个明确的挑战,并开发和应用我们将其转化为测量工具的愿景,这令人兴奋。”“这项研究是我在乔治亚理工学院和SCP攻读博士学位期间的第一项研究。这是我所做过的最具挑战性但也最有回报的努力之一。”
完整的报告将于本月晚些时候在丹麦哥本哈根举行的ACM计算机与通信安全会议(CCS)上发表。这篇题为“网站登录策略的大规模测量”的文章也在今年早些时候的第32届USENIX安全研讨会上被接受。
更多信息:网站登录策略的大规模测量。引用:最大规模的同类研究表明,过时的密码做法正使数百万人面临风险(2023,11/20)检索自https://techxplore.com/news/2023-11-largest-kind-outdated-password-millions.html本文受版权保护。除为私人学习或研究目的而进行的任何公平交易外,未经书面许可,不得转载任何部分。内容仅供参考之用。
