معظم المواقع الشعبية تمتلك سياسات أمنية ضعيفة

تمتلك معظم المواقع الشعبية سياسات أمنية ضعيفة عندما يتعلق الأمر بكلمات السر، وذلك وفقاً للتقرير الجديد الذي نشرته شركة داشلان Dashlane المسؤولة عن تطبيق إدارة كلمات السر الذي يحمل نفس اسمها والمتعلق بكلمات السر لعام 2017، حيث يعرض التصنيف النتائج المتعلقة بكلمات السر لأكثر من 40 موقع على شبكة الإنترنت يحظون بشعبية بين المستهلكين والمؤسسات.

وتعتبر كلمات السر مصدر أمن في معظم الأحيان، إلا أنها في الوقت نفسه قد تعتبر مصدر خطر كبير فيما إذا كان المستهلك مهملاً لها أو إذا كان موقع الويب يديرها أو يحزنها بشكل غير صحيح، وكانت نتائج التصنيف، الذي يدرس الممارسات المتعلقة بكلمات السر لأغلب المواقع ذات الشعبية والخدمات على شبكة الإنترنت، كارثية وصادمة إلى حد كبير.

فقد فشل ما يقرب من نصف (46 في المئة على وجه الدقة) مواقع المستهلكين في تنفيذ السياسات الأمنية الأساسية لكلمات السر، وينبطق هذا الأمر بنسبة 26 في المئة على مواقع المؤسسات، بما في ذلك خدمات أمازون للويب.

وجرى تصنيف المواقع بحسب شركة داشلان من رقم صفر إلى خمسة، حيث يمثل الرقم صفر أسوأ درجة ممكنة، في حين يمثل الرقم خمسة الأفضل، ويعتبر الرقم ثلاثة بمثابة درجة النجاح، وبحثت داشلان في خمسة أشياء مختلفة ضمن هذا التصنيف هي طول كلمة السر وتعقيدها وتقييم قوتها وهجوم Brute Force والمصادقة الثنائية.

طول كلمة السر: هل يوصي الموقع بأن يكون عدد محارف كلمة السر أكثر من ثمانية محارف؟

تعقيد كلمة السر: هل يمنع الموقع المستخدمين من إنشاء كلمات مرور مثل ‘aaaaaa’ أو ‘111111’؟، وكانت الصدمة أن الباحثين كانوا قادرين على إنشاء كلمات سر دون الحاجة إلى أي شيء سوى أحرف ‘a’ الصغيرة على مواقع أمازون وجوجل وإنستاجرام وفينمو.

تقييم قوة كلمة السر: هل يخبر الموقع المستخدم عن مدى قوة كلمة السر من خلال شريط الترميز اللوني؟

هجوم Brute Force: هل يعمل الموقع، وبعد وقوع عشر محاولات فاشلة من هجمات Brute Force، على اتخاذ أي إجراءات لوقف هذا الهجوم إما عن طريق قفل الحساب أو عرض اختبار كابتشار CAPTCHA؟

المصادقة الثنائية: هل يتطلب الموقع من المستخدم تأكيد هويته إما من خلال رمز تم إرساله عبر الرسائل القصيرة SMS أو باستخدام تطبيق مصادقة؟

وبحسب دراسة شركة داشلان فقد حصل موقع واحد على الدرجة الكاملة من جانب مواقع المستهلكين، وهو المنصة ذات الشعبية لاستضافة المواقع غودادي GoDaddy، بينما حصلت العديد من المواقع الأخرى على درجة النجاح مثل آبل ومايكروسوفت Tumblr وباي بال وReddit وSlack، في حين حصلت مواقع نيتفليكس وباندورا وسبوتيفاي وأوبر على درجة الصفر، مما يعني أنها لم تعمل على تنفيذ أي من سياسات الأمن الأساسية لكلمات السر.