L. a. plus grande étude de ce kind montre que les pratiques obsolètes en matière de mots de passe mettent des thousands and thousands de personnes en threat

Trois des quatre websites Internet les plus populaires au monde mettent en threat des dizaines de thousands and thousands d’utilisateurs et leurs données en ne respectant pas les normes minimales en matière d’exigences en matière de mots de passe.

Ces résultats font partie d’une nouvelle étude sur los angeles cybersécurité menée par Georgia Tech qui read about l’état actuel des politiques de mots de passe en ligne.

À l’aide d’un outil automatisé distinctive en son style succesful d’évaluer les politiques de génération de mots de passe d’un website online Internet, les chercheurs ont également découvert que 12 % des websites Internet ne répondaient absolument pas aux exigences en matière de longueur de mot de passe.

Professeur adjoint Frank Lee et Ph.D. L’étudiant Saud Al-Roumi de l’école de cybersécurité et de confidentialité de Georgia Tech a créé un outil d’évaluation automatisé pour explorer le rapport sur l’expérience utilisateur de Google Chrome (CrUX), une base de données d’un million de websites Internet et de pages.

L’étude s’appuie sur 20 000 websites Internet sélectionnés aléatoirement dans los angeles base de données CrUX et montre que de nombreux websites :

• Autorisez les mots de passe très courts.
• Ne bloquez pas les mots de passe courants.
• Utilisez des exigences héritées telles que des personnages complexes.

Les chercheurs ont également découvert que seuls quelques websites suivaient pleinement les directives usual, tandis que los angeles plupart adhéraient à des directives obsolètes depuis 2004. Le projet était 135 fois plus vaste que les travaux précédents qui reposaient sur des méthodes manuelles et des échantillons plus petits.

Plus de los angeles moitié des websites Internet de l’étude acceptaient les mots de passe de six caractères ou moins, et 75 % d’entre eux n’exigeaient pas le minimal recommandé de huit caractères. Environ 12 % n’ont aucune exigence de longueur et 30 % ne prennent pas en fee les espaces ou les caractères spéciaux.

Seuls 12 % des websites Internet étudiés appliquaient une liste noire de mots de passe, ce qui signifie que plus de 17 000 websites étaient vulnérables aux cybercriminels qui pourraient tenter d’utiliser des mots de passe courants pour pénétrer dans le compte d’un utilisateur, également connu sous le nom d’attaque par pulvérisation de mots de passe.

« Le professeur Lee et moi étions ravis de relever ce défi », a déclaré Al-Roumi. « Grâce à ses conseils et à notre travail continu sur los angeles conception d’algorithmes et los angeles technologie de mesure, nous avons pu développer une mesure entièrement automatisée de los angeles politique de génération de mots de passe et l’appliquer à grande échelle. »

Rumi et Lee ont conçu un algorithme qui détermine automatiquement los angeles politique de mot de passe d’un website online Internet. Grâce à l’apprentissage automatique, le duo a pu constater une cohérence dans les exigences et les contraintes de longueur pour les chiffres, les lettres majuscules et minuscules, les symboles spéciaux, les groupes et les caractères de début. Ils peuvent également voir si les websites autorisent les mots du dictionnaire ou les mots de passe compromis connus.

“En tant que communauté de sécurité, nous avons identifié et développé de nombreuses answers et bonnes pratiques pour améliorer los angeles sécurité d’Web et du Internet”, a déclaré Lee. “Il est necessary de vérifier si ces answers ou directives ont effectivement été adoptées dans los angeles pratique pour comprendre si los angeles sécurité s’améliore réellement.”

Le projet a débuté au plus castle de los angeles pandémie lorsque Rumi a découvert une lacune dans los angeles littérature de recherche concernant les politiques kin aux mots de passe des websites Internet. Grâce à ses lectures, il a découvert que l’unanimité de ses pairs ne croyait pas qu’une enquête à grande échelle sur les politiques de mots de passe était conceivable en raison de los angeles diversité de los angeles conception Internet.

“C’était passionnant de voir le défi identifié dans los angeles littérature et de développer et appliquer los angeles imaginative and prescient que nous avons transformée en outil de mesure”, a déclaré Al-Roumi. “Il s’agissait de ma première recherche dans le cadre de mon programme de doctorat à Georgia Tech et SCP. C’est l’un des projets les plus difficiles et les plus gratifiants sur lesquels j’ai jamais travaillé.”

Le rapport complet sera présenté à los angeles conférence ACM sur los angeles sécurité informatique et des communications (CCS) à Copenhague, au Danemark, plus tard ce mois-ci. L’article intitulé « Mesure à grande échelle des politiques de connexion aux websites Internet » a également été accepté lors du 32e Symposium sur los angeles sécurité USENIX plus tôt cette année.