آماری جالب از دادههای استخراج شده توسط یک افزونه امنیتی
بر اساس مطالعه انجام شده توسط کارشناسان شرکت گوگل و یک محقق دانشگاه استنفورد، 1.5 درصد از ثبتهای ورود (Login) در بستر وب، با استفاده از رمزهای عبور افشا شده انجام میشود.
در استخراج این آمار، دادههای جمعآوری شده توسط افزونه Google Password Checkup مورد استناد قرار گرفته است.
به گزارش شرکت مهندسی شبکه گستر، Password Checkup، یک سرویس اطلاعرسانی در خصوص اطلاعات اصالتسنجی (Credential) ناامن است.
Password Checkup پس از ثبت ورود کاربر در مرورگر مجهز به این افزونه، درهمساز (Hash) اطلاعات اصالتسنجی وارد شده را به گوگل ارسال میکند. در ادامه، اطلاعات ارسالی با بانک دادهای حاوی 4 میلیارد نام کاربری و رمز عبور افشا شده مورد مقایسه قرار گرفته و در صورت مشاهده هر گونه تطابق، در هشدارهایی مشابه تصاویر زیر از کاربر خواسته میشود تا نسبت به تغییر رمز عبور خود اقدام کند.
در این مطالعه آمار جمعآوری شده توسط Password Checkup در فاصله بین 16 بهمن تا 13 اسفند سال گذشته لحاظ شده است. بر این اساس از میان 21,177,237 ثبت ورود رصد شده، در 316,531 موارد (1.5 درصد) از رمز عبوری استفاده شده که اطلاعات آن به نحوی در بانک داده مذکور موجود بوده است.
همچنین بر طبق این مقاله نمایش هشدار منجر به تغییر رمز عبور توسط 26 درصد این کاربران شده است. 60 درصد رمزهای عبور تغییر یافته نیز امنتر گزارش شدهاند.
باید توجه داشت که افرادی که اقدام به نصب افزونه Password Checkup کردهاند در دسته کاربرانی قرار میگیرند که حداقل تا حدودی نسبت به ملاحظات امنیتی آگاه هستند. بنابراین انتظار میرود که آمار واقعی بسیار فراتر از آمار 1.5 درصدی حاصل شده در جریان این مطالعه باشد. موضوعی که این محققان نیز به آن اذعان داشتهاند:
Our detection rate is lower than the 6.9% reported by Thomas et al. [54] for 751 million Google accounts and 1.9 billion breached credentials. Possible reasons include the user population that adopted our extension is more security conscious— thus avoiding reuse as a behavior—or that dormant accounts have a higher reuse rate, which by nature our extension cannot observe as we perform checks at login time.
مشروح این مقاله با عنوان “Protecting accounts from credential stuffing with password breach alerting” که هفته گذشته در سمپوزیوم امنیتی یوزنیکس ارائه شد در اینجا قابل دریافت و مطالعه است.