Annons
Enligt en ny rapport förbi lösenordshanterare och digital plånbok Dashlane - En smart ny lösenordshanterare, formulärutfyllare och online shoppingassistentOm du har provat några lösenordshanterare tidigare, har du förmodligen lärt dig att förvänta dig lite grovhet runt kanterna. De är solida, användbara applikationer, men deras gränssnitt kan vara alltför komplexa och obekväma. Dashlane minskar inte bara... Läs mer utvecklare Dashlane, de företag du handlar med online är bedrövligt oförmögna att tillhandahålla tillräckligt skydd. Du kanske inte blir helt förvånad över den här nyheten, men du bör inte falla i den apatiska fällan.
Många av dessa återförsäljare är skyldiga Internet hela sitt väsen, men är oförmögna att följa ens de mest grundläggande goda datapraxis. Kort sagt, du kanske på allvar vill tänka om var du spenderar dina pengar online.
Dashlane-rapporten
Rapporten från 24 januari, kallad "The Illusion of Personal Data Security in E-Commerce", är den första av en serie kvartalsrapporter som är inställda på att få dig uppmärksam på hur onlineåterförsäljare hanterar data. Dashlane ansvarar för en lösenordshanterare och en digital plånboksapp med samma namn, och medan de har en egen intresse för säkerhetsmardrömmar kan vi vara säkra på att företaget kan ett och annat om bästa säkerhet praxis.
Du kanske förväntar dig det från några av de största återförsäljarna på webben också, men du har fel. När Dashlane sammanställde sin rapport sammanfattade några av de värsta säkerhetsvanorna hos användare och företag, och satte dem sedan på prov. Dessa tekniker inkluderade att använda en lista med välkända enkla lösenord när du registrerade dig (tänk "lösenord" och "123465"), upprepade gånger logga in med felaktiga referenser (översvämning) och använda kontots befintliga lösenord för att "återställa" tillgång.
Men användare är bara en liten del av det bredare problemet, och återförsäljare sattes under ännu större granskning. Strikta kriterier inkluderade obligatorisk lösenordslängd och komplexitet, oavsett om e-post skickas vidare eller inte kontoskapande och lösenordsbyte och om det finns åtgärder på plats för att hjälpa användare att skapa starka lösenord. Rapporten fick poäng från 100 till -100, med poäng avdrag för dålig praxis.
Detta är en rapport som tittar på tillståndet för onlineåterförsäljare, därav "e-handel" i titeln. Av den anledningen hittar du inte Facebook, Google, Twitter eller många av dina andra favorittjänster online bland resultaten.
De goda
Det är inte alla dåliga nyheter. Inget av företagen som valts vägrar att maskera lösenordsfältet vid skapande av konto, till exempel (du måste ta de små segrarna). Och mycket av tiden visar rapporter som denna att företagen går bra. Företag gillar Äpple – alla älskar Apple, eller hur?
Bortsett från personlig partiskhet var de endast företag med i rapporten för att få en perfekt "100" - vilket betyder att de kryssade i varje ruta som bad dem. Och som många av er vet, delas Apples detaljhandelskonton med dess bredare "Apple ID"-inloggningssystem, så dessa metoder delas mellan båda sidor av verksamheten.
Apples perfekta resultat betyder att de gör i stort sett allt de kan för att hålla din data säker och ditt konto endast i dina händer, inklusive att utbilda ett nytt konto registrera dig om fördelarna med ett starkt lösenord, genomdriva lösenord med blandade versaler och se till att ett nytt lösenord genereras när användare trycker på "glömt lösenordet" länk. Apple följdes av Microsoft, Newegg och Chegg som var och en fick positiva 65.
Microsoft och Newegg förlorade båda poäng för att de inte inkluderade en lösenordsstyrka, medan Chegg bara krävde en lösenordslängd på sex tecken. Senaste offer för skadlig programvara på försäljningsställen Mål kom upp trumf också och fick en solid 60 - med poäng dockade för att inte utbilda användarna om starka lösenord och lite slapp översvämningskontroll.
Det fanns också några andra stora namn som drog in poäng på 30 eller högre, inklusive Bästa köp, Walgreens, Nike och Williams-Sonoma. Det är bra resultat, och även om företagen inte bör vila på sina lagrar, kan du göra mycket sämre ur säkerhetssynpunkt online.
Det dåliga
Av de 100 återförsäljarna som presenterades, returnerade åtta lösenord till användare i klartext. Av dessa åtta, tre – 1-800-Flowers.com, Blå Nilen och Karmaloop – inklusive användarnamn eller e-mail kopplat till det kontot. Toys R Us, J.Crew, Dicks sportartiklar och Aeropostale är de andra skyldiga, och det betyder att deras lösenord också lagras i klartext.
Omkring 60 % av återförsäljarna tillåter de flesta allmänt accepterade "dåliga" lösenord – varav 70 % var nöjda med "abc123". Några av de stora namnen som gärna låter kunder öppna konton med "lösenord" inkluderar Amazon, Häftklamrar och Walmart. Dessa företag har faktiskt inga som helst skyddsåtgärder på plats för att skydda mot svaga lösenord, eftersom de också gärna accepterar "qwerty" och "letmein".
Om jag precis har nämnt ditt lösenord, vänligen: ändra det.
Översvämningskontroll är en annan dåligt genomförd åtgärd över hela linjen. Amazon kom ut ogynnsamt igen, vilket tillåter 10 eller fler felaktiga inloggningsförsök utan låsa kontot. Hur chockerande det än kan vara, är Internets största återförsäljare inte ensam: Dell, Bästa köp, Macys, Toys R Us och Vistaprint är alla lyckligt i förnekelse om översvämningsattacker (för att bara nämna några).
Generellt sett är resultaten inte bra, särskilt som de största problemen verkar finnas hos de största återförsäljarna. En poäng på -30 eller lägre anses vara dålig, och företag som når denna låga punkt inkluderar webbens mest trafikerade återförsäljare Amazon, stormarknad stormarknad Walmart och enormt populär rabattsajt Groupon. Andra dåliga prestationer kom från Macys, Hulu, Disney och Amazon-alternativ Barnes och Noble.
Vi då?
En rapport om de åtgärder som vidtagits av onlineåterförsäljare säger bara så mycket om ett större problem – slappa säkerhetsrutiner, mycket av tiden också från vår sida. Det finns bara så mycket du kan göra för att skydda dig mot identitets- och kreditkortsbedrägerier, eller att förlora tillgången till ett konto fullt av köp, så varför inte se till att du har kryssat i alla rutorna?
Det skulle inte finnas ett behov av att testa mot kända dåliga lösenord om folk inte fortfarande använde dem, så gör det inte. Mannen som använder olika lösenord för varje tjänst han registrerar sig för oroar sig aldrig när ett säkerhetsintrång avslöjas, så gör som han gör och återanvänd aldrig lösenord. Och varför hitta på lösenord när du kan skapa dem säkert De 5 bästa onlinelösenordsgeneratorerna för starka slumpmässiga lösenordLetar du efter ett sätt att snabbt skapa ett okrossbart lösenord? Prova en av dessa online-lösenordsgeneratorer. Läs mer ?
Att behöva komma ihåg fler lösenord än du har fingrar blir tufft, och därför bör du vända dig till en lösenordshanterare för att göra ditt liv enklare. Dashlane ger just det – gratis och plattformsoberoende kan jag lägga till – och vi var ganska förtjusta i det i vår recension Dashlane - En smart ny lösenordshanterare, formulärutfyllare och online shoppingassistentOm du har provat några lösenordshanterare tidigare, har du förmodligen lärt dig att förvänta dig lite grovhet runt kanterna. De är solida, användbara applikationer, men deras gränssnitt kan vara alltför komplexa och obekväma. Dashlane minskar inte bara... Läs mer . Glöm inte om helt gratis KeepPass KeePass Password Safe – Det ultimata krypterade lösenordssystemet [Windows, Portable]Förvara dina lösenord på ett säkert sätt. Komplett med kryptering och en anständig lösenordsgenerator – för att inte tala om plugins för Chrome och Firefox – KeePass kan bara vara det bästa lösenordshanteringssystemet som finns. Om du... Läs mer eller den dyr, men full av funktioner, 1Password Låt 1Password för Mac hantera dina lösenord och säkra dataTrots den nya iCloud Keychain-funktionen i OS X Mavericks föredrar jag fortfarande kraften i att hantera mina lösenord i AgileBits klassiska och populära 1Password, nu i sin fjärde version. Läs mer antingen. Alla dessa lösningar kommer ihåg lösenord, så du behöver inte – bara ett "huvudlösenord".
Poängen
Det största problemet med många av de frågor som tas upp i denna rapport är det faktum att återförsäljare fortfarande inte hjälper sina mest utsatta kunder – de som inte förstår fördelarna med att inte använda samma lösenord flera gånger, eller som inte tänker på en lätt gissa Lösenord. Det andra problemet är att kända problem – som att skicka lösenord i vanlig text, eller tillåta ett obegränsat antal felaktiga inloggningar – fortsätter att förbli oadresserade.
Det bästa sättet att låta sådana företag veta hur du känner om deras förakt för dina personuppgifter är att helt enkelt inte handla där. Som konsumenter i en valdjungel hörs vårt högsta vrål när vi öppnar våra plånböcker, så genom att välja att inte spendera alla pengar du inte längre bidrar till den allmänna känslan av apati när det kommer till säkerhet i det digitala ålder.
Förhoppningsvis har återförsäljarna som skäms över sina dåliga metoder redan börjat se över sin strategi för säkerhet online, och i nästa rapport kommer saker redan att se betydligt bättre ut. Dashlanes fullständiga rapport finns att ladda ner, så kolla in det om du är orolig eller bara intresserad av hela uppsättningen av data.
Överraskad? Upprörd? Otillräcklig? Klicka på kommentarerna och släpp lös din vitriol (eller säg något trevligt) nedan.
Bildkredit: En lektion i säkerhet (pbkwee), Apple Store (Håkan Dahlström)
Tim är en frilansskribent som bor i Melbourne, Australien. Du kan följa honom på Twitter.
