Researchers Learn How Web Services Regulate User Passwords

Maria Nefyodova
Digital Security experts tested the password policies of 157 web services, including social networks, email clients, cloud storage and Internet banking. The experts found out which sites have the most stringent rules for creating passwords and are thus potentially safe; what recommendations for protecting accounts are given to users and when using which sites the user is likely to become a victim of an attacker.

Researchers made the following requirements for the passwords studied:

  • Password must be longer than 8 characters;
  • the password must contain numbers, upper and lower case letters;
  • password should not be like login.
In addition, it was taken into account that services should give general recommendations on password complexity to users and not allow registration with any of the tested combinations of characters. To test the ability to set simple passwords, passwords were selected from several well-known dictionaries, including Rockyou and Top 10,000 worst passwords.

As a result, the following groups of services were tested: mail services, social networks, electronic commerce, payment services, game services, cryptocurrency, data storage, joint development, hosting, password managers, news services, entertainment resources, blogs and forums, Internet banking.

Based on the test results, services were awarded points based on which a rating was compiled: a maximum of 11.5 points. So, it turned out that gaming services over time (a comparison was made with a similar study in 2015) began to take better care of password policies, unlike payment systems. And social networks practically do not control the creation of passwords by users, which as a result leads to an increased risk of hacking. For example, Facebook earned 8 points out of a possible 11.5 and took first place among the tested social networks, in second - StackExchange, in third place - "Classmates", in fourth - Tinder, fifth in Instagram, sixth in Twitter, and only in seventh place Vkontakte is located.

We also checked the mail services. They turned out to be leaders in the security of password policies. Their rating looks like this: Outlook - 10 points, Gmail - 9 points, Mail and Yahoo - 7.5 points, Yandex - 6 points, Rambler - 1.5 points.

The winner of the previous rating of payment services, WebMoney, this time earned -0.5 and moved to last place, and Skrill took the first place.

Researchers emphasize that foreign services pay more attention to password settings than Russian ones. In cases where the sites do not provide any recommendations for creating passwords, the responsibility for this lies entirely with the user. If the user registers a weak password, then the likelihood of a hacker attack on his account increases significantly.

“In the testing of services, various indicators were taken into account for the requirement of passwords from web services: the length of the password and its content, does the site offer recommendations for creating a password, what rules should the user follow when choosing character combinations, is it possible to register on the site with a weak or dictionary password, are there any mechanisms from unauthorized authorization, is it possible that the login and mail match, what restrictions do the services use when registering or recovering the password, ”said study co-author Ivan Yushkevich, an analyst at Digital Security.

Detailed results and testing methodology are presented in the Digital Security report “ Testing Web Services Password Policies 2.0 ".

Исследователи изучили, как веб-сервисы регулируют пароли пользователей

Мария Нефёдова
Специалисты компании Digital Security протестировали парольные политики 157 веб-сервисов, включая социальные сети, почтовые клиенты, облачные хранилища и интернет-банкинг. Эксперты выяснили, какие сайты предъявляют самые строгие правила к созданию паролей и таким образом являются потенциально безопасными; какие рекомендации по защите аккаунтов даются пользователям и при использовании каких сайтов пользователь, скорее всего, станет жертвой злоумышленника.

Исследователи предъявляли следующие требования к изучаемым паролям:

  • пароль должен быть длиннее 8 символов;
  • пароль должен содержать цифры, заглавные и строчные буквы;
  • пароль не должен быть похожим на логин.
Помимо этого учитывалось, что сервисы должны давать общие рекомендации по сложности пароля пользователям и не позволять регистрироваться ни с одной из тестируемых комбинаций символов. Для тестирования возможности установки простых паролей были выбраны пароли из нескольких известных словарей, включая RockYou и Топ-10000 самых плохих паролей.

В итоге были протестированы следующие группы сервисов: почтовые сервисы, социальные сети, электронная коммерция, платежные сервисы, игровые сервисы, криптовалюта, хранение данных, совместная разработка, хостинг, парольные менеджеры, новостные сервисы, развлекательные ресурсы, блоги и форумы, интернет-банкинг.

По результатам тестирования сервисам начислялись баллы, на основе которых составлялся рейтинг: максимум — 11,5 баллов. Так, оказалось, что игровые сервисы со временем (проводилось сравнение с аналогичным исследованием 2015 года) стали лучше заботиться о парольных политиках, в отличие от платежных систем. А социальные сети практически не контролируют создание паролей пользователями, что в результате приводит к повышенному риску взлома. Например, Facebook заработал 8 баллов из возможных 11,5 и занял первое место среди протестированных соцсетей, на втором — StackExchange, на третьем месте — «Одноклассники», на четвертом — Tinder, пятое — Instagram, шестое — Twitter, и только на седьмом месте расположился «ВКонтакте».

Прошли проверку также и почтовые сервисы. Они оказались лидерами по безопасности парольных политик. Их рейтинг выглядит так: Outlook — 10 баллов, Gmail — 9 баллов, Mail и Yahoo — 7,5 баллов, Яндекс — 6 баллов, Рамблер — 1,5 балла.

Победитель прошлого рейтинга платежных сервисов, WebMoney, в этот раз заработал -0,5 и сместился на последнее место, а первое место занял Skrill.

Исследователи подчеркивают, что зарубежные сервисы уделяют настройкам паролей больше внимания, чем российские. В случаях, когда сайты не предоставляют никаких рекомендаций по созданию паролей, ответственность за это полностью лежит на пользователе. Если же пользователь регистрирует слабый пароль, то вероятность хакерской атаки на его аккаунт возрастает в разы.

«В тестировании сервисов учитывались разные показатели к требованию паролей от веб-сервисов: длина пароля и его содержание, предлагает ли сайт рекомендации по созданию пароля, какими правилами должен руководствоваться пользователь при выборе комбинаций символов, возможно ли зарегистрироваться на сайте со слабым или словарным паролем, есть ли механизмы от несанкционированной авторизации, возможно ли совпадение логина и почты, какие ограничения используют сервисы при регистрации или восстановлении пароля», — уточняет соавтор исследования Иван Юшкевич, аналитик Digital Security.

Подробные результаты и методология тестирования представлены в отчете компании Digital Security «Тестирование парольных политик веб-сервисов 2.0».

Исследователи изучили, как веб-сервисы регулируют пароли пользователей - «Хакер»