作为一个网站的开发者,你需要怎样做才能让自己的用户设置安全的密码?你可以看看Dashlane的网站密码设置测试报告,Dashlane的团队分析了40个在线服务网站的密码策略,发现并不是所有的网站在密码安全性要求方面都是一样的,有些网站只需要用户随便使用一个简单的密码即可登陆注册,这也使数据安全性大打折扣。
研究人员在40个网站上尝试注册一个新账户,并记录哪些网站遵循下面的注册密码原则:
1:该网站是否要求用户使用8个或更多字符的密码
2:该网站是否要求用户使用字母,数字和符号组合的密码
3:该网站是否显示密码强度检测,可以直观地告诉用户他们的密码强度
4:该网站是否有保护功能,比如可以在账号不锁定的前提下允许10次密码输入错误
5:该网站是否支持双验证方式
测试结果令Dashlane团队感到意外,因为他们发现就算是一些非常受欢迎的网站也会使用一些非常宽松的密码安全措施,以下是他们的测试结果:
亚马逊,Dropbox,Google,Instagram,Linkedln,Netflix,Sptify,Uber和Venmo等网站可以用小写字母“a”作为密码。
研究人员在Netflix和Spotify上成功注册了一个密码为“aaaa”的账户
苹果,Dropbox,Google,推特Venmo和沃尔玛没有防止暴力攻击的对策
51%的消费者网站和36%的企业网站不需要超过8位的用户密码
48%的消费者网站和27%的企业网站不需要字母,数字和字符组合的密码
76%的消费者网站和72%的企业网站没有提供密码强度检测
51%的消费者网站和45%的企业网站没有强力的保护措施
32%的消费者网站和一个企业网站(Freshbooks)不提供2FA双因子验证支持
只有GoDaddy,Stripe和Quick Books有最好的密码保护措施
Netflix,Pandora,Spotify和Uber至少满足了一个标准
完整的测试结果,内容以及对于开发者的建议请浏览Dashlane的博客。