Tags:
Node Thumbnail

Dashlane บริษัทพัฒนาซอฟต์แวร์เก็บรหัสผ่าน ทำรายงานวิเคราะห์นโยบายรหัสผ่านของเว็บอีคอมเมิร์ซจำนวน 100 เว็บ โดยวิเคราะห์ตั้งแต่นโยบายการตั้งรหัสว่ายอมรับรหัสผ่านที่อันตรายเช่น "123456" หรือ "password" หรือไม่ ไปจนถึงการส่งรหัสผ่านไปยังผู้ใช้ว่ามีการส่งรหัสผ่านไปหาผู้ใช้ทางอีเมลโดยตรงหรือไม่

รายงานระบุว่ามีเงื่อนไขการให้คะแนนทั้งหมด 24 เงื่อนไข โดยให้คะแนนตั้งแต่ -100 ถึง 100 โดยให้คะแนนเว็บอีคอมเมิร์ซยอดนิยม 100 เว็บ ตัวเลขที่น่าสนใจจากการสำรวจ เช่น

  • เว็บ 55% ยังรับรหัสผ่านที่ง่ายมาก เช่น "123456" และ "password"
  • เว็บ 51% ไม่ล็อกบัญชีผู้ใช้แม้มีความพยายามล็อกอินด้วยรหัสที่ผิดไปแล้วสิบครั้ง
  • มี 8 เว็บไซต์ ส่งรหัสผ่านให้กับผู้ใช้ผ่านอีเมล

เมื่อคิดคะแนนออกมาแล้วแอปเปิลเป็นเว็บเดียวที่ได้คะแนนเต็มตามรายงานฉบับนี้ และที่สองตามมาด้วย Newegg, Chegg, และไมโครซอฟท์ ได้คะแนนเท่ากัน

กระบวนการให้คะแนนของ Dashlane จำกัดอยู่เฉพาะนโยบายรหัสผ่านเท่านั้น กระบวนการรักษาความปลอดภัยยังมีกระบวนการอื่นๆ ที่ควรพิจารณาอีกมาก เช่น การเข้ารหัสทางเดียวด้วยกระบวนการที่แข็งแกร่งและทำงานได้ช้า เช่น PBKDF2, bcrypt, scrypt หรือการเชื่อมต่อด้วย HTTPS ที่แต่ละเว็บมีนโยบายไม่เหมือนกัน ไปจนถึงการรองรับ two-factor authentication ที่เพิ่มความปลอดภัยได้ดี แต่การมีนโยบายรหัสผ่านที่ดีก็นับเป็นจุดเริ่มต้นที่สำคัญแม้ว่าเกณฑ์การให้คะแนนบางข้ออาจจะถูกตั้งคำถามว่าเหมาะสมหรือไม่ เช่น การล็อกบัญชีอาจจะทำให้ผู้ใช้ตัวจริงทำงานได้ลำบากเมื่อมีคนกลั่นแกล้งด้วยการล็อกอินด้วยรหัสมั่วๆ เพื่อให้บัญชีถูกล็อก

ที่มา - ArsTechnica, Dashlane (PDF)

Get latest news from Blognone

Comments

By: Perl
ContributoriPhoneUbuntu
on 27 January 2014 - 15:29 #675208
Perl's picture

มี 8 เว็บไซต์ ส่งรหัสผ่านให้กับผู้ใช้ผ่านอีเมล

อันนี้เกลียดมาก เว็บไหนสมัครสมาชิกแล้วมาแบบนี้นี่เปลี่ยนพาส แล้วก็เลิกใช้ทันที

By: nostalgias
ContributoriPhoneAndroid
on 27 January 2014 - 16:24 #675224 Reply to:675208
nostalgias's picture

แล้วจำพวกกดลืมรหัสผ่านแล้วสุ่มรหัสส่งมาทางเมลให้เราไป login แล้วเปลี่ยนรหัสเองนี่เข้าข่ายมั้ยครับ ?

By: mementototem
ContributorJusci's WriterAndroidWindows
on 27 January 2014 - 16:38 #675229 Reply to:675224
mementototem's picture

แบบนี้ก็ไม่ต่างจากคลิกลิงก์เพื่อเปลี่ยนรหัสผ่านหรอกครับ ลิงก์กรอกให้เองล็อกอินให้ด้วย กับ เราพิมพ์เองกดล็อกอินเอง


Jusci - Google Plus - Twitter

By: Zatang
ContributoriPhoneAndroid
on 27 January 2014 - 17:08 #675239 Reply to:675224

ยังดีกว่านะครับ แบบส่งรหัสกลับมานี่เก็บข้อมูลรหัสตรงๆ แน่เลย แบบนี้แค่รหัสชั่วคราวด้วย


อคติทำให้คนรับเหตุผลด้านเดียว

By: Perl
ContributoriPhoneUbuntu
on 27 January 2014 - 18:28 #675264 Reply to:675224
Perl's picture

นี่ถามจริงๆ ใช่ไหมครับ ?
มันมีความแตกต่างกันนะครับ โดยเฉพาะปกปิด Original Password ให้ยังคงเป็นความลับ