De acordo com um novo relatório do gerenciador de senhas e carteira digital Dashlane - Um novo gerenciador de senhas, formador de formulários e assistente de compras online Dashlane - Um novo gerenciador de senhas, preenchimento de formulários e assistente de compras online Se você já tentou alguns gerenciadores de senhas, você provavelmente aprendeu a esperar alguma aspereza nas bordas. São aplicativos sólidos e úteis, mas suas interfaces podem ser excessivamente complexas e inconvenientes. O Dashlane não reduz apenas ... Leia Mais desenvolvedor Dashlane, as empresas que você compra on-line são lamentavelmente incapazes de fornecer proteção adequada. Você pode não estar totalmente surpreso com esta notícia, mas você não deve cair na armadilha apática.
Muitos desses varejistas devem todo o seu ser à Internet, mas são incapazes de seguir até mesmo as práticas de dados mais básicas. Em suma, você seriamente pode querer repensar onde você está gastando seu dinheiro online.
O relatório do Dashlane
Apelidado de “A ilusão da segurança de dados pessoais no comércio eletrônico”, o relatório de 24 de janeiro é o primeiro de uma série de relatórios trimestrais que o colocam animado sobre como os varejistas online lidam com os dados. A Dashlane é responsável por um gerenciador de senhas e aplicativo de carteira digital com o mesmo nome e, embora eles tenham interesse em pesadelos de segurança, podemos ter certeza de que a empresa sabe uma coisa ou duas sobre as melhores práticas de segurança.
Você pode esperar isso de alguns dos maiores varejistas da web também, mas você estaria errado. Enquanto compilava seu relatório, o Dashlane sintetizava alguns dos piores hábitos de segurança de usuários e empresas, e os colocava em teste. Essas técnicas incluíam o uso de uma lista de senhas simples bem conhecidas durante a inscrição (pense em “senha” e “123465”), fazendo logon repetidamente com credenciais incorretas (inundações) e usando a senha existente da conta para “redefinir” o acesso.
Mas os usuários são apenas uma pequena parte do problema mais amplo, e os varejistas foram submetidos a um exame ainda maior. Os critérios rigorosos incluíam o tamanho e a complexidade da senha obrigatória, se os e-mails são ou não enviados na criação da conta e na alteração da senha e se existem medidas em vigor para ajudar os usuários a criar senhas fortes. O relatório foi pontuado de 100 a -100, com pontos deduzidos por práticas ruins.
Este é um relatório que analisa o estado dos varejistas on-line, portanto, "e-commerce" no título. Por esse motivo, você não encontrará o Facebook, o Google, o Twitter ou muitos de seus outros serviços on-line favoritos entre os resultados.
O bom
Não são todas más notícias. Nenhuma das empresas escolhidas se recusa a mascarar o campo de senha na criação da conta, por exemplo (você tem que fazer pequenas vitórias). E a maior parte das vezes, relatórios como esse destacam as empresas que estão indo bem. Empresas como a Apple - todo mundo adora a Apple, certo?
Viés pessoal de lado, eles foram a única empresa apresentada no relatório a receber um perfeito “100” - o que significa que eles marcaram cada caixa que lhes foi solicitada. E, como muitos de vocês sabem, as contas de varejo da Apple são compartilhadas com o sistema de login "ID da Apple" mais amplo, de modo que essas práticas são compartilhadas entre os dois lados do negócio.
A pontuação perfeita da Apple significa que eles estão fazendo tudo o que podem para manter seus dados seguros e sua conta apenas nas suas mãos, incluindo a educação de novas assinaturas de contas sobre os benefícios de uma senha forte, a imposição de senhas de casos mistos e a garantia de uma nova senha gerado quando os usuários acessam o link "Esqueci minha senha". A Apple foi seguida pela Microsoft, Newegg e Chegg, cada uma com 65 pontos positivos.
A Microsoft e a Newegg perderam pontos por não incluir um medidor de força de senha, enquanto o Chegg exigiu apenas um tamanho de senha de seis caracteres. Vítimas recentes de malware no ponto-de-venda O alvo também se sobressalta, com uma pontuação sólida 60 - com pontos atrelados para não educar os usuários sobre senhas fortes e algum controle de inundação negligente.
Havia também alguns outros grandes nomes em 30 ou mais, incluindo Best Buy, Walgreens, Nike e Williams-Sonoma . Esses são bons resultados, e embora as empresas não devam descansar com os louros, você pode fazer muito pior do ponto de vista de segurança on-line.
O mal
Dos 100 varejistas em destaque, oito retornaram senhas para usuários em texto puro. Desses oito, três - 1-800-Flowers.com, Blue Nile e Karmaloop - incluíam o nome de usuário ou e-mail associado a essa conta. Toys R Us, J.Crew, Dick's Sporting Goods e Aeropostale são as outras partes culpadas, e isso significa que suas senhas também estão sendo armazenadas em texto simples.
Cerca de 60% dos varejistas aceitam as senhas “ruins” mais aceitas - das quais 70% estavam felizes com “abc123”. Alguns dos grandes nomes satisfeitos em permitir que os clientes abram contas usando “senha” incluem Amazon, Staples e Walmart . Essas empresas realmente não têm nenhuma proteção para proteger contra senhas fracas, porque aceitam com prazer “qwerty” e “letmein” também.
Se acabei de mencionar sua senha, por favor: altere-a.
Controle de inundação é outra medida mal implementada em toda a linha. Amazon sair desfavorável novamente, permitindo 10 ou mais tentativas de login incorretas sem bloquear a conta. Por mais chocante que seja, o maior varejista da Internet não está sozinho: a Dell, a Best Buy, a Macy's, a Toys R Us e a Vistaprint estão alegremente em negação sobre ataques de inundação (para citar apenas alguns).
Em geral, os resultados não são bons, principalmente porque os maiores problemas parecem estar presentes nos maiores varejistas. Uma pontuação de -30 ou abaixo é considerada ruim, e as empresas que atingem esse ponto mais baixo incluem a varejista mais disputada da web, a Amazon, o gigante de supermercados Walmart e o imensamente popular site de descontos Groupon . Outras performances ruins vieram da Barnes and Noble, da Macy's, Hulu, Disney e Amazon-alternative.
E nós?
Um relatório sobre as medidas postas em prática pelos varejistas online só diz muito sobre um problema maior - práticas de segurança negligentes, a maior parte do tempo também da nossa parte. Há tanta coisa que você pode fazer para se proteger contra fraudes de identidade e cartão de crédito ou perder acesso a uma conta cheia de compras, então por que não garantir que você marcou todas as caixas?
Não haveria necessidade de testar contra senhas ruins conhecidas se as pessoas ainda não as usassem, então não faça isso. O homem que usa uma senha diferente para cada serviço que ele assina nunca se preocupa quando uma violação de segurança é exposta, assim como ele faz e nunca reutiliza senhas. E por que pensar em senhas, quando você pode gerá-las com segurança? 5 Geradores de senhas grátis para senhas quase inacessíveis 5 geradores de senhas grátis para senhas quase inacessíveis Leia mais?
Ter que se lembrar de mais senhas do que dedos é difícil, e você deve procurar um gerenciador de senhas para facilitar sua vida. O Dashlane fornece apenas isso - gratuito e multiplataforma eu poderia acrescentar - e nós gostávamos bastante dele em nossa análise. Não se esqueça do KeePass KeePass Password Safe - o mais completo sistema de senhas criptografadas [Windows, Portable] KeePass Password Safe - O mais recente sistema de senhas criptografadas [Windows, Portable] Armazene suas senhas com segurança. Completo com criptografia e um gerador de senhas decente - sem mencionar os plugins para Chrome e Firefox - o KeePass pode ser o melhor sistema de gerenciamento de senhas existente. Se você ... Leia mais ou o caro, mas repleto de recursos, 1Password Deixe 1Password para Mac Gerencie suas senhas e dados seguros Deixe 1Password para Mac Gerencie suas senhas e dados seguros Apesar do novo recurso iCloud Keychain no OS X Mavericks, eu ainda Prefiro o poder de gerenciar minhas senhas no 1Password clássico e popular do AgileBits, agora em sua quarta versão. Leia mais também. Todas essas soluções lembram senhas, então você não precisa - apenas uma senha “master”.
The Bottom Line
O maior problema com muitas das questões levantadas por este relatório é o fato de que os varejistas ainda não estão ajudando seus clientes mais vulneráveis - aqueles que não entendem os benefícios de não usar a mesma senha várias vezes, ou não dão uma segunda chance. pensou em uma senha fácil de adivinhar. O outro problema é que problemas conhecidos - como enviar senhas em texto simples ou permitir um número ilimitado de logins incorretos - continuam sem serem endereçados.
A melhor maneira de permitir que essas empresas saibam como você se sente em relação ao desprezo pelos seus dados pessoais é simplesmente não fazer compras lá. Como consumidores em uma selva de escolha, nosso rugido mais alto é ouvido quando abrimos nossas carteiras, então, escolhendo não gastar dinheiro, você não está mais contribuindo para o sentimento geral de apatia quando se trata de segurança na era digital.
Espero que os varejistas, envergonhados por suas más práticas, já tenham começado a rever sua abordagem à segurança on-line e, no próximo relatório, as coisas já parecerão consideravelmente melhores. O relatório completo do Dashlane está disponível para download, então verifique se você está preocupado ou simplesmente interessado no conjunto completo de dados.
Surpreso? Indignado? Desconcertado? Acerte os comentários e solte o seu vitríolo (ou diga algo legal), abaixo.
Crédito da imagem: Uma lição sobre segurança (pbkwee), Apple Store (Håkan Dahlström)