全球最受欢迎的网站的密码建议不一致和误导性可能会增加网络攻击的风险
经常会使用密码计量器,以帮助用户保护其个人数据免受网络犯罪分子的威胁。
然而,根据一项新的研究,在一些世界上最受欢迎的网站上提供的“前后不一致和误导性”建议实际上弊大于利。
普利茅斯大学的一项研究评估了人们经常使用或遇到的16种密码计量器的有效性。
主要重点是专用的密码计量器网站,但该研究还试图评估嵌入在某些常见在线服务(包括Dropbox和Reddit)中的那些以及在我们某些设备上作为标准发现的那些。
该研究发表在《计算机欺诈与安全》上,该报告指出,不同网站上提供的建议存在明显的差异。
尽管有些计量表确实可以有效地引导用户使用更安全的帐户密码,但有些计量表在尝试使用“ abc123”,“ qwertyuiop”和“ iloveyou”时却不会接管他们-本周所有这些均列在2019年最差的密码中。
该研究由信息安全教授,大学安全,通信与网络研究中心负责人史蒂夫·弗内尔(Steve Furnell)进行。
他以前曾建议,包括亚马逊和LinkedIn在内的全球IT巨头可能会做更多的事情,以提高人们对更好密码实践需求的认识。
他还表明,在过去十年的时间里,在全球网络攻击威胁日益增加的情况下,十大英语网站中的大多数并没有扩展其为消费者提供的密码指南。
弗内尔教授在评论最新研究时说:“在节日期间,数亿人将获得技术礼物或使用他们的设备进行购买。他们至少应该期望的是,他们的数据将是安全的,并且在没有替换密码的情况下,向他们提供一致且知情的指导是寻求更高安全性的关键。
“这项研究表明,某些可用的仪表将把尝试输入的密码标记为潜在风险,而另一些则认为可接受。安全意识和教育足够辛苦,而又不会通过提供误导性信息而浪费机会,从而使用户受到误导并产生虚假的安全感。”
这项研究针对不同的仪表测试了16个密码,其中10个被列为世界上最常用的密码(包括“ password”和“ 123456”)。
在10个明显较弱的密码中,只有5个在所有密码计量器中均得到相同的评分,而“ Password1!”的性能远胜于应有的评分,甚至在三个计量器中得分都很高。
但是,一个积极的发现是,浏览器生成的密码始终被评为强,这意味着用户似乎可以相信这些功能可以很好地完成工作。
弗内尔教授在研究结论中写道:“密码表本身并不是一个坏主意,但是您显然需要使用或提供正确的密码表。还值得记住的是,无论电表如何处理,许多系统和站点在实践中仍然会接受弱密码,并且没有向用户提供任何有关如何做出更好选择的建议或反馈。
“尽管所有注意力都集中在替换密码上,但事实是,我们继续使用密码,很少或没有尝试来支持用户正确地使用密码。可信的密码计量器可以发挥重要作用,但误导性的计量器会损害安全性,并且只会给攻击者带来更多好处。”
参考:“密码计量器:提供的建议不一致,不一致吗?”作者:史蒂文·弗内尔(Steven Furnell),2019年11月21日,计算机欺诈与安全。
10.1016 / S1361-3723(19)30116-2