Введение
Безопасность в сфере онлайн-аутентификации становится ключевой проблемой, поскольку угрозы в интернете постоянно эволюционируют. Исследования проведены на различных веб-платформах, включая электронные магазины, информационные порталы и службы доставки. Проанализируем эффективность их парольных политик и механизмов обеспечения безопасности. В данном исследовании мы рассмотрим различные сервисы и их политики по созданию, изменению, и сбросу паролей.
Для нашего сравнительного анализа, мы выбрали несколько разных сайтов со схожей тематикой:
- https://www.21vek.by/
- https://shop.by/
- https://www.onliner.by/
- https://1k.by/
- https://deal.by/
- https://edostavka.by/
- https://mile.by/
Обзор
21vek.by: Есть к чему стремиться
Сайт 21vek.by, специализирующийся на продаже электроники, предоставляет пользователю пароль, создаваемый автоматически при регистрации (например, “cb3582f8”). Это вызывает серьезные сомнения в эффективности парольной политики, так как такие пароли считаются слабыми и уязвимыми для атак. Помимо этого, при отказе от согласия на хранение персональных данных, профиль пользователя очищается от большинства данных, за исключением электронной почты. Это странно, учитывая, что адрес электронной почты также является чувствительной информацией. Такой подход поднимает вопросы о политике безопасности и обработке личных данных пользователей.
Результаты:
- Логин: email
- Пароль при регистрации: Создается автоматически (cb3582f8)
- Пароль при изменении: 123456
- Пароль при сбросе: 111111
- Ссылка для сброса пароля: Работает 1 раз
- MFA: Нет
- Отказ от политики обработки персональных данных: Можно отказаться
- Обработка файлов cookie: Можно отказаться
- Удаление аккаунта: Нет
- Заметки: При отключении согласия на хранение персональных данных – все данные профиля сбрасываются (удаляются), кроме электронной почты.
shop.by: Сомнительная возможность отказа от учетной записи
На сайте shop.by регистрация осуществляется автоматически с отправкой пароля по SMS (например, “6HHqweU3”). Пароли также не идеальны и могут подвергнуться атакам. Сайт предоставляет возможность отказа от учетной записи, но сложность этого процесса, а именно невозможность отказа через интерфейс, может считаться нарушением принципов управления учетными записями. Это создает впечатление о том, что пользователям предоставляется ограниченный контроль над своей безопасностью на сайте.
Результаты:
- Логин: email / телефон
- Пароль при регистрации: Создается автоматически (6HHqweU3)
- Пароль при изменении: 11111111
- Пароль при сбросе: 1111111
- Ссылка для сброса пароля: Работает 1 раз
- MFA: Нет
- Отказ от политики обработки персональных данных: Нельзя отказаться, но можно сразу удалить учетную запись
- Обработка файлов cookie: Не получилось отказаться
- Удаление аккаунта: Да
onliner.by: Многообразие параметров и сомнительные возможности
Onliner.by предоставляет пользователям многочисленные параметры настройки профиля, но при этом допускает регистрацию с использованием слабых паролей, таких как “11111111”. Ссылка для сброса пароля работает только один раз. Отсутствие запроса на согласие и отсутствие подтверждения пароля при изменении создают опасность в случае несанкционированного доступа.
Результаты:
- Логин: email / ник
- Пароль при регистрации: 11111111 (предупреждают что пароль слабый)
- Пароль при изменении: 11111111
- Пароль при сбросе: 11111111
- Ссылка для сброса пароля: Работает 1 раз
- MFA: Есть
- Отказ от политики обработки персональных данных: При регистрации (в личном кабинете настроек нет)
- Обработка файлов cookie: Можно отказаться
- Удаление аккаунта: Нет
- Заметки: Много параметров настройки профиля.
1k.by: Недостаточные требования к паролю и проблемы с проверкой
Сайт 1k.by предоставляет минимум информации о парольной политике и допускает использование слабых паролей. Несмотря на предупреждение о слабом пароле при регистрации, система принимает даже пароль “111111”, что является нарушением базовых принципов безопасности. При изменении пароля не проверяется его соответствие минимальным требованиям, что создает дополнительный риск безопасности. Система также имеет трудности с поддержкой парольной политики.
Результаты:
- Логин: email
- Пароль при регистрации: 111111
- Пароль при изменении: 1111
- Пароль при сбросе: 1111
- Ссылка для сброса пароля: Работает 1 раз
- MFA: Нет
- Отказ от политики обработки персональных данных: Да
- Обработка файлов cookie: Да
- Удаление аккаунта: Да, частичное (номер телефона остается в базе сайта и не допускается к использованию второй раз)
- Заметки: Нарушение парольной политики. Несмотря на предупреждение к использованию паролей с буквами и цифрами, система приняла пароль 111111. По факту проверяется только длина пароля. При изменении пароля допускается пароль из 4 цифр. При логине всегда появляется капча.
deal.by: Пример эффективной безопасности
Deal.by демонстрирует высокий уровень безопасности в своих механизмах аутентификации и управлении учетными записями. Сложные пароли с дополнительными требованиями к символам и их зашифрованное хранение гарантируют, что пользователи обладают сильной защитой от потенциальных атак. Варианты входа, такие как пароль и SMS, предоставляют пользователям дополнительные уровни безопасности.
Результаты:
- Логин: email / телефон
- Пароль при регистрации: Более 8 символов, цифры, буква строчная, буква заглавная, спец символ
- Пароль при изменении: Более 8 символов, цифры, буква строчная, буква заглавная, спец символ
- Пароль при сбросе: Более 8 символов, цифры, буква строчная, буква заглавная, спец символ
- Ссылка для сброса пароля: Работает 1 раз
- MFA: Нет
- Отказ от политики обработки персональных данных: Не спрашивали
- Обработка файлов cookie: Можно отказаться
- Удаление аккаунта: Да
- Заметки: Есть система защиты от перебора. Парольная политика везде функционирует корректно. Варианты входа по SMS и паролю.
edostavka.by: Защита от перебора и соблюдение стандартов
Сайт edostavka.by успешно реализует защиту от перебора паролей и соблюдает стандарты безопасности. Сложные требования к паролям и их обязательное использование при регистрации и изменении обеспечивают надежную защиту. Вопросы, задаваемые при сбросе пароля, подтверждают легитимность запроса, что предотвращает возможные атаки.
Результаты:
- Логин: телефон
- Пароль при регистрации: Более 8 символов, цифры, буква строчная, буква заглавная, спец символ
- Пароль при изменении: Более 8 символов, цифры, буква строчная, буква заглавная, спец символ
- Пароль при сбросе: Более 8 символов, цифры, буква строчная, буква заглавная, спец символ
- Ссылка для сброса пароля: Работает 1 раз
- MFA: Нет
- Отказ от политики обработки персональных данных: Спрашивают
- Обработка файлов cookie: Не спрашивали
- Удаление аккаунта: доступно
- Заметки: Безопасный механизм аутентификации
Сводная таблица со всеми результатами
| Сайт | Логин | Пароль: Регистрация | Пароль: Изменение | Пароль: Сброс | Пароль: Сброс, переиспользование ссылки | MFA | Отказ от политики обработки перс данных | Обработка файлов cookie | Удалить аккаунт | Заметки |
|---|---|---|---|---|---|---|---|---|---|---|
| 21vek.by | Создается автоматич (cb3582f8) | 123456 | 111111 | Ссылка работает 1 раз | Нет | Можно отказаться | Можно отказаться | Нет | При отключении согласия на хранение персональных данных – все данные профиля сбрасываются (удаляются), кроме электронной почты. | |
| shop.by | email / телефон | Создается автоматически (пароль приходит в смс, 6HHqweU3) | 11111111 | 1111111 | Ссылка работает 1 раз | Нет | Нельзя отказаться, но можно сразу удалить учетную запись | Не получилось отказаться | Да | |
| onliner.by | email / ник | 11111111 (предупреждают что пароль слабый но дают регистрироваться) | 11111111 | 11111111 | Ссылка работает 1 раз | Есть | Не спрашивали | Можно отказаться | Нет | Много параметров настройки профиля. |
| 1k.by | 111111 | 1111 | 1111 | Ссылка работает 1 раз | Нет | Не спрашивали | Нарушение парольной политики: несмотря на предупреждение к использованию паролей с буквами и цифрами, система приняла пароль 111111. По факту проверяется только длина пароля. При изменении пароля допускается пароль из 4 цифр. При логине всегда появляется капча. | |||
| deal.by | email / телефон | Более 8 символов, цифры, буква строчная, буква заглавная, спец символ | Более 8 символов, цифры, буква строчная, буква заглавная, спец символ | Более 8 символов, цифры, буква строчная, буква заглавная, спец символ | Ссылка работает 1 раз | Нет | Не спрашивали | Можно отказаться | Да | Есть система защиты от перебора. Парольная политика везде функционирует корректно. Варианты входа по SMS и паролю. |
| edostavka.by | телефон | Более 8 символов, цифры, буква строчная, буква заглавная, спец символ | Более 8 символов, цифры, буква строчная, буква заглавная, спец символ | Более 8 символов, цифры, буква строчная, буква заглавная, спец символ | Ссылка работает 1 раз | Нет | Спрашивают | Не спрашивали | Безопасный механизм аутентификации. |
Заключение
Рассмотренные веб-сайты варьируют в методах регистрации и применении парольных политик. Важно, чтобы сервисы предоставляли безопасные методы регистрации и позволяли пользователям эффективно управлять своими учетными записями. Понимание разнообразия в реализации парольных политик может помочь в повышении безопасности пользователей в целом.