Contraseñas: el 75% de los mejores sitios web del mundo permiten elecciones incorrectas


rap«>Un análisis de 120 de los sitios web en inglés mejor clasificados del mundo encontró que muchos de ellos permiten contraseñas débiles, incluidas las que se pueden adivinar fácilmente, como «abc123456» y «P@$$w0rd».

Tecnología


23 de junio de 2022

Alguien iniciando sesión en un sitio web

Algunos sitios web permiten que las personas elijan contraseñas débiles

Rafael Henrique/SOPA Images/LightRocket vía Getty Images

Tres cuartas partes de los sitios web de habla inglesa más populares del mundo aún permiten a los usuarios elegir las contraseñas más comunes, como «abc123456» y «P@$$w0rd».

Más de la mitad de los 120 sitios web principales también permiten las 40 contraseñas más comunes y fáciles de adivinar. Les sites incluent des portails d’achat populaires tels qu’Amazon et Walmart, l’application de médias sociaux TikTok, le site de streaming vidéo Netflix et la société Intuit, fabricant du logiciel de déclaration de revenus TurboTax utilisé par des millions de personnes aux Estados Unidos.

amazonas dijo científico nuevo que recomienda a los usuarios configurar la verificación en dos pasos y que la empresa puede «requerir desafíos de autenticación adicionales al iniciar sesión» si detecta un riesgo de seguridad. El arquitecto jefe de Intuit, Alex Balazs, dijo que investigaría los hallazgos y señaló el uso que hace Intuit de la autenticación multifactor y la detección de fraudes. Las otras empresas mencionadas anteriormente no respondieron a científico nuevosolicitud de comentario.

“Es tentador concluir que las empresas simplemente no se preocupan por la seguridad del usuario, pero no creo que sea justo… dejar que las cuentas sean pirateadas no es lo mejor para ellos”, dice Arvind Narayanan de la Universidad de Princeton.

Para realizar el análisis de los sitios web en inglés calificados como populares por varios servicios de Internet, Narayanan y sus colegas verificaron manualmente 40 contraseñas en cada sitio. Utilizando los requisitos de contraseña de cada sitio, seleccionaron 20 contraseñas de una muestra aleatoria de las 100 000 contraseñas más utilizadas encontradas en violaciones de datos, así como las 20 contraseñas principales adivinadas por una herramienta de descifrado de contraseñas.

Solo 15 sitios web bloquearon las 40 contraseñas probadas. Estos incluyeron Google, Adobe, Twitch, GitHub y Grammarly.

En 2017, el Instituto Nacional de Estándares y Tecnología de EE. UU. publicó una serie de recomendaciones para que las sigan los sitios web, como incluir indicadores de seguridad que alienten a los usuarios a crear contraseñas más fuertes, mantener listas de bloqueo de contraseñas filtradas y fáciles de adivinar, y solo permitir contraseñas de al menos ocho caracteres.

Solo 23 de los 120 principales sitios web usan medidores de fuerza. En comparación, 54 sitios aún se basan en políticas de composición de contraseñas que tienen calificaciones de seguridad y usabilidad deficientes, como obligar a los usuarios a crear contraseñas complejas con una combinación específica de letras mayúsculas y minúsculas, números y símbolos. Durante este tiempo, los usuarios pueden protegerse no reutilizando las contraseñas de sus cuentas en línea.

“Realmente esperábamos que más sitios web siguieran las mejores prácticas”, dice el miembro del equipo Kevin Lee, también de la Universidad de Princeton. El equipo presentará los resultados en el Simposio de seguridad y privacidad usable en agosto.

Los investigadores aún no saben por qué tantos sitios web populares todavía tienen políticas de contraseñas por debajo del promedio. Una posibilidad es que las organizaciones prefieran gastar dinero en otras medidas de seguridad porque puede ser difícil medir el impacto de las políticas de contraseñas mejoradas, dice Sten Sjöberg, gerente del programa de seguridad de Microsoft, quien contribuyó con la investigación mientras estudiaba en la Universidad de Princeton.

El campo de la seguridad también puede tener un «pequeño problema de trinquete», dice Michelle Mazurek de la Universidad de Maryland, que no participó en la investigación. «No es fácil anular la protección, como el requisito de cambios frecuentes de contraseña, incluso cuando se ha demostrado científicamente que no es beneficioso, porque nadie quiere ser culpado si algo sale mal más tarde».

Obtenga más información sobre estos temas:

Sé el primero en comentar

Deja un comentario