当然,用户因选择弱密码而臭名昭著,但是如果网站采取了一些简单的步骤来增强安全性,我们都会从中受益。
Dashlane在其季度个人数据安全汇总报告中发现,在针对流行的电子商务网站及其安全实践的调查中,Apple,Newegg,Microsof,Chegg和Target遵循了最佳安全实践。 MLB.com,Karmaloop和Dick's Sporting Goods的得分最差,而Amazon,Walmart,Toys R Us和Victoria's Secret的表现都没有那么好。 苹果公司获得了perect评分,这是唯一的零售商。
Dashlane根据24个不同的标准对100个站点进行了评估,例如该站点拒绝弱密码,在一定数量的错误登录后阻止登录尝试,或者显示密码强度表以向用户提供有关安全密码的即时反馈。 Dashlane建议的电子商务站点在四次错误登录尝试后锁定帐户,采用最小密码安全性规则,并提供屏幕上的建议以帮助用户选择更好的密码。
Dashlane说:“有些零售商可能会认为这样的要求阻碍了用户的便利性,但是苹果公司(可以说是名单上最著名的品牌)已经表明,既有可能取得成功,又有可能取得成功。”
密码不足
用户经常选择简单的密码,以使其更容易记住。 但是,不会阻止用户选择常用密码的网站不会给用户带来任何好处。 Dashlane发现,大多数网站(55%)接受了非常弱的密码,例如“ 123456”,“ 111111”和“ password”。 大约70%的网站允许用户使用“ abc123”作为密码。 MLB.com甚至允许用户选择“棒球”作为其密码。
网站也没有执行严格的密码规则。 调查中约有62%的网站不需要用户选择使用数字和字母的密码,而73%的网站允许密码长度少于6个字符。 61%的网站甚至都没有在注册过程中为用户提供有关如何创建强密码的建议。
尽管某些站点在选择密码时在屏幕上提供了一个小仪表,以指示用户选择的是弱,中还是强密码,但这样做还不够。 在Dashlane的研究中,有93%的网站没有提供这种反馈。
帐号安全
攻击者经常使用“强力”方法闯入帐户。 他们循环浏览一个单词列表,以查看它们是否有效。 许多站点,尤其是银行,通常会在输入三到五个错误密码后锁定该帐户。 Dashlane发现,即使经过10次使用错误密码的尝试,包括Amazon和Dell在内的几个主要站点仍允许登录尝试。
百思买,梅西百货,威廉姆斯-索诺玛,HSN,LL Bean,Toys R Us,Overstock.com和Vistaprint排名靠前的十大零售商中,其余十家零售商由于密码输入错误而没有锁定帐户。
包括Toys R Us,J Crew和1-800-Flowers在内的八个站点通过电子邮件发送了纯文本密码。 这意味着零售商将这些密码原样存储在其数据库中,而无需对其进行加密。 考虑到我们最近看到的数据泄露数量,有些主要品牌仍未了解到加密数据库中的重要信息很重要,这有点令人惊讶。 它还使您想知道还有哪些其他敏感数据被不安全地存储。
加紧
该报告发现,“美国的一些顶级电子商务网站未能实施能够充分保护其用户个人数据的基本密码策略,”达什拉内说。 Dashlane说,这些修补程序不必花费昂贵的成本即可实施或花费很长时间。
是的,用户需要负责其人身安全并在选择密码方面做得更好,但是网站所有者也可以加紧要求用户做得更好。 做足够的事情是人类的天性,因此,如果主要的电子零售商提高了门槛,那将大大提高个人数据的安全性。 当然,使用密码管理器(Dashlane的密码管理器是PCMag编辑的选择)始终是一个不错的选择。
查看Dashlane的博客,以获取网站及其得分的完整列表。 如果转到“安全综述”链接,请准备好将zip文件自动下载到计算机上。 一些警告本来很好,Dashlane。
