Video: Defensa del Consumidor responde consultas | #TPANoticias (Noviembre 2024)
Después de que el error Heartbleed salió a la luz a principios de este año, los administradores del sitio web se apresuraron a parchar el componente vulnerable que permitía a los delincuentes capturar fragmentos de memoria de servidores seguros. Dado que esos fragmentos podrían incluir fácilmente nombres de usuario y contraseñas, muchos sitios notificaron a los usuarios que actualizaran sus contraseñas después de la corrección. Sin embargo, un informe de seguridad de los creadores del popular administrador de contraseñas de Dashlane revela que la mayoría de los sitios tienen mucho más trabajo por hacer en sus propias políticas de contraseñas.
Metodología de prueba
Los investigadores de Dashlane analizaron las políticas de contraseña de más de 80 sitios web populares, otorgando puntos por políticas que mejoran la seguridad y deduciendo puntos por políticas riesgosas. Por ejemplo, un sitio que envía un correo electrónico de confirmación después del cambio de contraseña gana 10 puntos, pero un sitio cuya notificación incluye la contraseña en texto sin formato pierde 30 puntos. Un sitio que acepta contraseñas de tres caracteres o menos pierde 5 puntos; uno que requiere al menos ocho caracteres gana 20 puntos.
El rango posible de puntajes va desde 100 puntos perfectos hasta pésimos -100 puntos. Dashlane considera un sitio razonablemente seguro si obtuvo al menos 50 puntos. Solo el 14 por ciento de los sitios encuestados logró esa hazaña, y el 53 por ciento obtuvo puntajes negativos.
Contraseñas malas
A menos que las políticas de contraseña de un sitio lo obliguen a mejorar, muchas personas aún usan contraseñas terribles como "contraseña", "123456" y "qwerty". Dashlane identificó a los diez peores delincuentes y calificó cada sitio por 2.5 puntos por cada uno que fue aceptado. Más del 40 por ciento de los sitios aceptaron los diez. Un puñado bloqueó casi todo, pero tropezó con "abc123".
1800Flowers.com, Fab.com y Match.com tienen la distinción poco envidiable de aceptar contraseñas tan cortas como un solo carácter. BestBuy.com fue el único sitio encuestado que requiere diez o más caracteres.
Lo mejor y lo peor
Solo el sitio web de Apple obtuvo una puntuación perfecta de 100 puntos. Windows Live de Microsoft logró 85 puntos, UPS y Microsoft Store obtuvieron 75. Target y Kaspersky Lab lograron 70 puntos. Tenga en cuenta que esto se refiere muy específicamente a las políticas de contraseña en el sitio web de Kaspersky y no tiene nada que ver con el software de seguridad de la compañía.
¿Buscando amor? Esperemos que no use su contraseña de Match.com en ningún otro sitio. Con -70 puntos, Match.com logró el puntaje más bajo de todos los sitios probados. Hulu y Overstock obtuvieron -55, Fab obtuvo -50, y un puñado de sitios como US Airways y Amazon obtuvieron -45.
El puntaje promedio entre todos los sitios probados fue solo un pelo bajo cero, pero el promedio por categoría varió enormemente. Las citas, los viajes y la seguridad promediaron -23, -17 y -5 puntos respectivamente. El comercio electrónico, las utilidades sociales y las utilidades de productividad lograron puntajes positivos de 3, 12 y 13 puntos respectivamente. (Hola, compañías de seguridad; ¡trabajen en sus sitios web!)
Las políticas afectan las contraseñas
Posiblemente, el resultado más interesante fue la referencia cruzada de los puntajes de la política de contraseñas con la fuerza promedio de la contraseña en cada sitio. Con el permiso de los usuarios, Dashlane recopila y agrega datos no personales en función de las contraseñas de cada usuario. (¡No las contraseñas en sí mismas! Solo el índice de fortaleza). No es sorprendente que haya una fuerte correlación entre los dos puntajes.
Puede ver el informe completo, incluidos detalles precisos sobre la metodología de prueba y los consejos de Dashlane para sitios que obtuvieron puntajes bajos en www.dashlane.com/securityroundup. Haga clic en la infografía a continuación para ampliar la imagen.
