Sau khi lỗ hổng “Trái tim rỉ máu” được khám phá, các quản trị viên trang web đã vội vã đắp vá, tăng cường bảo vệ cho các thành phần dễ bị tổn thương trên máy chủ như bảo vệ mật khẩu và tài khoản.
Nhiều trang web đã khuyến cáo người dùng đổi mật khẩu của họ sau khi vá lỗi. Tuy nhiên theo hãng cung cấp phần mềm quản lý mật khẩu Dashlane, các trang web có rất nhiều việc phải làm với chính sách mật khẩu của họ.
Phương pháp đánh giá
Các nhà nghiên cứu của Dashlane đã phân tích chính sách mật khẩu của hơn 80 trang web phổ biến tại Mỹ, cộng điểm cho các chính sách cải thiện bảo mật và trừ điểm cho các chính sách tiềm ẩn rủi ro. Ví dụ, một trang web gửi email xác nhận sau khi đổi mật khẩu được cộng 10 điểm, nhưng một trang web gửi thông báo bao gồm cả mật khẩu rõ ràng bị trừ 30 điểm. Một trang web chấp nhận mật khẩu 3 ký tự hoặc ngắn hơn bị trừ 5 điểm, một trang web yêu cầu mật khẩu tối thiểu tám ký tự được cộng 20 điểm.
Phạm vi của điểm số rất rộng từ hoàn hảo 100 điểm tới cực tệ -100 điểm. Dashlane đánh giá một trang web ở mức an toàn tương đối nếu nó đạt 50 điểm. Chỉ có 14% số trang web trong cuộc khảo sát đạt mức trên 50 điểm, và 53% có số điểm thất vọng.
Những mật khẩu tệ hại
Nếu các trang web không làm tốt chính sách mật khẩu thì vẫn có những người dùng sử dụng những mật khẩu tệ khủng khiếp như “password”, “123456″ và “qwerty”. Dashlane xác định 10 mật khẩu tệ nhất và trừ các trang web 2,5 điểm trên mỗi mật khẩu tệ mà các họ chấp nhận. Hơn 40% số trang web chấp nhận tất cả 10 mật khẩu tệ. Một số ít trang web chặn tất cả nhưng lại chấp nhận mật khẩu dạng “abc123″.
1800Flowers.com, Fab.com, và Match.com là những trang web chấp nhận mật khẩu ngắn nhất, chỉ cần một ký tự. BestBuy.com là trang web duy nhất đòi hỏi mật khẩu trên 10 ký tự.
Kết quả
Duy nhất trang web của Apple giành được điểm số hoàn hảo 100. Đứng ở vị trí tiếp theo là các dịch vụ của Microsoft như Windows Live/Hotmail đạt 85 điểm, UPS và Microsoft Store được 75 điểm. Target và Kaspersky Lab kiếm được 70 điểm. Lưu ý rằng bài viết này chỉ đề cập tới chính sách mật khẩu của trang web Kaspersky chú không đánh giá gì tới phần mềm diệt virus của hãng này.
Nếu bạn dùng chung mật khẩu của tài khoản trên trang hẹn hò trực tuyến Match.com cho các trang web và dịch vụ khác thì bạn nên đổi mật khẩu bởi Match.com có số điểm tệ nhất trong số các trang web được khảo sát với -70 điểm. Hulu và Overstock có -55 điểm, Fab -50 điểm, và một số ít trang web bao gồm US Airway và Amazon có số điểm -45 điểm.
Điểm số trung bình của tất cả các trang web là một con số âm nhỏ hơn 0 một chút. Trong khi đó điểm rung bình theo thể loại rất khác nhau. Các trang web hẹn hò, du lịch và an ninh có số điểm trung bình tương ứng là -23, -17 và -5 điểm. Các trang web thương mại điện tử, tiện ích xã hội và tiện ích sản xuất có số điểm trung bình tương ứng là 3, 12 và 13 điểm. Kết quả này cho thấy dường như các công ty bảo mật đang quá quan tâm tới thế giới mà quên đi trang web của chính họ.
Chính sách ảnh hưởng tới mật khẩu
Có một tham chiếu chéo giữa chính sách mật khẩu và sức mạnh mật khẩu trung bình trên mỗi trang web. Với sự cho phép của người dùng, Dashlane đã tập hợp và thu thập dữ liệu phi cá nhân về sức mạnh của mật khẩu của mỗi người dùng (không phải mật khẩu, chỉ đánh giá sức mạnh). Không ngạc nhiên, có một sự tương quan mạnh mẽ giữa mật khẩu và chính sách mật khẩu.
Theo Dashlane, các trang web nên áp dụng những chính sách như yêu cầu mật khẩu tối thiểu tám ký tự. Đề nghị người dùng sử dụng mật khẩu bao gồm cả số và ký tự, bao gồm cả ký tự hoa, thường. Gửi email xác nhận mỗi khi mật khẩu được thay đổi. Và cuối cùng, khóa những mật khẩu tệ trên trang web. Về phía người dùng, Dashlane khuyến cáo nên sử dụng mật khẩu vượt quá giới hạn an toàn tối thiểu, và nên sử dụng những phần mềm quản lý mật khẩu bởi bạn sẽ gặp rủi ro giống như “gom tất cả trứng bỏ vào một giỏ”.