Hầu hết website trên thế giới chỉ bảo mật mật khẩu ở mức trung bình

Theo Ictnews

10/08/2017 09:35:47

Khảo sát của Dashlane cho thấy hầu hết mọi website trên thế giới đều áp dụng chỉ một vài chính sách bảo mật cơ bản, thậm chí có những website còn cho phép tạo mật khẩu với chỉ 1 ký tự "a".

Mật khẩu là yếu tố tiên quyết của bảo mật, nhưng đồng thời cũng là “gót chân Achilles” của bảo mật thông tin, đặc biệt là khi người dùng tỏ ra thờ ơ với thông tin cá nhân của mình, hoặc khi một website quản lý mật khẩu chưa tốt.

Dashlane, công ty đứng đằng sau ứng dụng quản lý mật khẩu cùng tên, hôm nay đã công bố khảo sát Xếp hạng Mức độ bảo mật của mật khẩu của mình. Cuộc khảo sát nghiên cứu thói quen bảo mật mật khẩu của những đối tượng khách hàng lớn, công ty cung cấp dịch vụ phần mềm và đa phương tiện. Kết quả khảo sát này đã khiến nhiều người phải kinh ngạc.

Có tơi gần một nửa (chính xác là 46%) website khách hàng không tích hợp dù là những chính sách bảo mật thô sơ nhất. Con số các trang web doanh nghiệp tương tự là 36%, bao gồm cả Amazon Web Services.

Các trang web được xếp hạng từ 0 tới 5, 0 là mức thấp nhất và 5 là mức tốt nhất với 3 là số điểm tạm chấp nhận được. Các tiêu chí xếp hạng Dashlane đặt ra bao gồm:

-Độ dài mật khẩu: Trang web có yêu cầu mật khẩu tối thiểu 8 ký tự không?

-Mức độ phức tạp của mật khẩu: Trang web có ngăn người dùng tạo những mật khẩu siêu tối giản như “aaaaa” hay “111111” không? Đáng kinh ngạc, các nhà nghiên cứu phát hiện ra một số trang web cho phép tạo mật khẩu với chỉ một ký tự “a” duy nhất, trong đó có Amazon, Google, Instagram và Venmo.

-Thông báo mức độ bảo mật của mật khẩu: Trang web có thông báo cho người dùng đánh giá về mức độ bảo mật của mật khẩu sắp tạo hay không?

-Brute Force: Sau 10 lần thử thất bại, website có thực hiện hành động nào để ngăn chặn một cuộc tấn công brute force (kỹ thuật đoán thử đúng sai liên tục để hack mật khẩu) hay không?

-Xác nhận 2 bước: Website có yêu cầu người dùng xác nhận danh tính qua token gửi qua SMS hay dùng ứng dụng xác nhận hay không?

Về phía người tiêu dùng, chỉ một trang web đạt số điểm tuyệt đối - GoDaddy - một trang web hosting platform nổi tiếng. Các trang khác phổ biến khác đạt điểm số chấp nhận được bao gồm Apple, Microsoft, Tumblr, Paypal, Reddit và Slack.

Netflix, Pandora, Spotify và Uber đều đạt 0 điểm. Đồng nghĩa với việc, theo tiêu chí của Dashlane, các trang này không áp dụng bất kỳ tính năng bảo mật mật khẩu nào được liệt kê trong danh sách trên.

Về phía các trang web doanh nghiệp, Stripe và QuickBooks là 2 websites đạt số điểm tuyệt đối. Dù không có trang nào bị điểm “liệt”, nhưng những ông lớn nổi tiếng như Amazon Web Services và FreshBooks đều đạt 1 điểm.

Tuy nhiên, cũng cần phải nói thêm rằng đánh cắp mật khẩu chỉ là một trong nhiều cách tin tặc hack vào một hệ thống để chiếm quyền sử dụng thông tin khách hàng, Hầu hết các trang web đều có hệ thống bảo mật tối tân đơn giản vì đó là yêu cầu cần thiết để website tồn tại, phát triển và đem lại lợi nhuận, nhưng những khảo sát tương tự như thế này cũng phần nào cho chúng ta biết về miếng mồi ngon mà rất nhiều hệ thống web đang vô tình trưng ra cho kẻ xấu.