Los angeles plus grande étude de ce kind montre que les pratiques obsolètes en matière de mots de passe mettent des hundreds of thousands de personnes en risk

Trois des quatre websites Internet les plus populaires au monde mettent en risk des dizaines de hundreds of thousands d’utilisateurs et leurs données en ne respectant pas les normes minimales en matière d’exigences en matière de mots de passe.

Ces résultats font partie d’une nouvelle étude sur l. a. cybersécurité menée par Georgia Tech qui read about l’état actuel des politiques de mots de passe en ligne.

À l’aide d’un outil automatisé distinctive en son style succesful d’évaluer les politiques de génération de mots de passe d’un web site Internet, les chercheurs ont également découvert que 12 % des websites Internet ne répondaient absolument pas aux exigences en matière de longueur de mot de passe.

Professeur adjoint Frank Lee et Ph.D. L’étudiant Saud Al-Roumi de l’école de cybersécurité et de confidentialité de Georgia Tech a créé un outil d’évaluation automatisé pour explorer le rapport sur l’expérience utilisateur de Google Chrome (CrUX), une base de données d’un million de websites Internet et de pages.

L’étude s’appuie sur 20 000 websites Internet sélectionnés aléatoirement dans l. a. base de données CrUX et montre que de nombreux websites :

• Autorisez les mots de passe très courts.
• Ne bloquez pas les mots de passe courants.
• Utilisez des exigences héritées telles que des personnages complexes.

Les chercheurs ont également découvert que seuls quelques websites suivaient pleinement les directives same old, tandis que l. a. plupart adhéraient à des directives obsolètes depuis 2004. Le projet était 135 fois plus vaste que les travaux précédents qui reposaient sur des méthodes manuelles et des échantillons plus petits.

Plus de l. a. moitié des websites Internet de l’étude acceptaient les mots de passe de six caractères ou moins, et 75 % d’entre eux n’exigeaient pas le minimal recommandé de huit caractères. Environ 12 % n’ont aucune exigence de longueur et 30 % ne prennent pas en rate les espaces ou les caractères spéciaux.

Seuls 12 % des websites Internet étudiés appliquaient une liste noire de mots de passe, ce qui signifie que plus de 17 000 websites étaient vulnérables aux cybercriminels qui pourraient tenter d’utiliser des mots de passe courants pour pénétrer dans le compte d’un utilisateur, également connu sous le nom d’attaque par pulvérisation de mots de passe.

« Le professeur Lee et moi étions ravis de relever ce défi », a déclaré Al-Roumi. « Grâce à ses conseils et à notre travail continu sur l. a. conception d’algorithmes et l. a. technologie de mesure, nous avons pu développer une mesure entièrement automatisée de l. a. politique de génération de mots de passe et l’appliquer à grande échelle. »

Rumi et Lee ont conçu un algorithme qui détermine automatiquement l. a. politique de mot de passe d’un web site Internet. Grâce à l’apprentissage automatique, le duo a pu constater une cohérence dans les exigences et les contraintes de longueur pour les chiffres, les lettres majuscules et minuscules, les symboles spéciaux, les groupes et les caractères de début. Ils peuvent également voir si les websites autorisent les mots du dictionnaire ou les mots de passe compromis connus.

“En tant que communauté de sécurité, nous avons identifié et développé de nombreuses answers et bonnes pratiques pour améliorer l. a. sécurité d’Web et du Internet”, a déclaré Lee. “Il est essential de vérifier si ces answers ou directives ont effectivement été adoptées dans l. a. pratique pour comprendre si l. a. sécurité s’améliore réellement.”

Le projet a débuté au plus castle de l. a. pandémie lorsque Rumi a découvert une lacune dans l. a. littérature de recherche concernant les politiques relations aux mots de passe des websites Internet. Grâce à ses lectures, il a découvert que l’unanimité de ses pairs ne croyait pas qu’une enquête à grande échelle sur les politiques de mots de passe était conceivable en raison de l. a. diversité de l. a. conception Internet.

“C’était passionnant de voir le défi identifié dans l. a. littérature et de développer et appliquer l. a. imaginative and prescient que nous avons transformée en outil de mesure”, a déclaré Al-Roumi. “Il s’agissait de ma première recherche dans le cadre de mon programme de doctorat à Georgia Tech et SCP. C’est l’un des projets les plus difficiles et les plus gratifiants sur lesquels j’ai jamais travaillé.”

Le rapport complet sera présenté à l. a. conférence ACM sur l. a. sécurité informatique et des communications (CCS) à Copenhague, au Danemark, plus tard ce mois-ci. L’article intitulé « Mesure à grande échelle des politiques de connexion aux websites Internet » a également été accepté lors du 32e Symposium sur l. a. sécurité USENIX plus tôt cette année.