Af Torben B. Sørensen, 21/08/17
Brugere kan anvende svage passwords på en række websteder.
Password-managerfirmaet Dashlane har analyseret password-politikkerne hos 37 forbruger-rettede og 11 virksomhedsorienterede websteder. Dashlane har undersøgt, om webstederne overholder fem krav:
- Et password skal være på mindst otte tegn.
- Et password skal bestå af en kombination af bogstaver, tal og specialtegn.
- Webstedet skal vise brugeren en vurdering af, hvor stærkt brugerens password er.
- Webstedet må højst tillade ni mislykkede forsøg på login. Derefter skal det gennemtvinge en sikkerhedskontrol, fx ved at spærre for flere forsøg, kræve en CAPTCHA-kode (Completely Automated Public Turing test to tell Computers and Humans Apart) eller kræve to-faktor-autentifikation.
- Webstedet skal understøtte to-faktor-autentifikation.
Kun et forbrugerrettet websted, GoDaddy, overholdt alle kravene. Fire overholdt ingen af dem: Netflix, Pandora, Spotify og Uber.
Hvis et password er på under otte tegn, kan angribere let knække det i et brute force-angreb. For at øge sikkerheden anbefaler Dashlane passwords på 12-15 tegn.