Omsätt insikter i handling: Bitwarden Access Intelligence är nu tillgängligt Läs mer >

Bitwarden-bloggen

Branschledares säkerhetsrankning: Social Media Edition

B
skriven av:Bitwarden
publicerad :

Om du läser detta är chansen stor att du förmodligen använder någon form av sociala medier. Du kanske till och med räknar dig själv bland andelen personer som har fått sina konton äventyrade. I en värld där över 3 miljarder människor använder sociala webbplatser finns det stora möjligheter för cyberbrottslingar att utnyttja sårbarheter i lösenordssäkerhet. Om de kan lyckas med det beror på dig, användaren (till exempel genom att använda ett starkt lösenord och tvåfaktorsautentisering) och sociala medieföretag själva, eftersom de behöver utrusta dig med verktygen för att stärka lösenordssäkerheten.

Undrar du hur vissa företag klarar sig när det kommer till att erbjuda säkerhetspolicyer för lösenord? Det var vi också. Vi förlitade oss på samma forskningsdrivna slutanvändarbaserade tillvägagångssätt som vi använde med branschledande banker, och vi utvärderade nyligen säkerhetsvänligheten hos lösenordssystem för sociala medier.

Vi höll det återigen till toppplattformarna (definierade som de flesta användare) i USA, som vi identifierade som Facebook, Instagram, TikTok och Snapchat.

För enkelhetens skull har vi sammanfattat kriterierna som vi använde för att bedöma lösenordssäkerheten nedan.

Kriterier

Tillåter företaget för sociala medier lösenord som är minst 40 tecken?

Experter rekommenderar att lösenord är starka och unika, där styrkan bäst bestäms av slumpmässighet och längd. I vår anteckning om Hur säkert är mitt lösenord delar vi: "Korta lösenord är mycket mer mottagliga för en brute force attack, där en dator eller skadlig programvara går igenom varje 8-siffrig kombination (eller fler) av tecken tills den hittar en matchning."

För syftet med den här övningen utvärderar vi specifikt om organisationer tillåter användare att skapa lösenord som är minst 40 tecken - ett antal vi nöjt oss med eftersom lösenordsfraser, som blir allt populärare, tenderar att vara ganska långa. Dessutom kan lösenordshanterare - som hjälper människor att skapa, lagra och hantera lösenord - generera mycket längre lösenord för ökad säkerhet som kan överskrida gränsen. 

Tillåter företaget för sociala medier användare att klistra in lösenord?

Det här är bra. Lösenordsklistring möjliggör användning av lösenordshanterare och autofyll möjliggör snabb och enkel inloggning.

Erbjuder företaget för sociala medier tvåfaktorsautentisering (2FA)?

Det här är bra. Som vi har sagt gång på gång är tvåfaktorsautentisering säkrare än att bara använda ett användarnamn och lösenord.

Tillåter företaget för sociala medier autentiseringsappar?

Tillåter företaget för sociala medier autentiseringshårdvara?

Dessa är båda bra. Autentiseringsappar och hårdvara lägger till extra nivåer av starkt skydd och är säkrare än SMS-meddelanden.

Skickar företaget i sociala medier ett e-postmeddelande som informerar användaren om en lösenordsåterställning?

Kräver företaget för sociala medier att användaren loggar in igen med det nya lösenordet?

Dessa är båda praktiska steg. Det är klokt att varna användare om en lösenordsändring som de kanske inte har auktoriserat. Att kräva att de loggar in igen är en säkerhetspraxis.

Lösenordssäkerhet poängsystem

I bedömningen ingår ett betyg för varje plattform. För att bestämma betyget tilldelade vi antingen ✅ (ja) eller ⛔ (nej) till de sju frågorna ovan. Till exempel är 7/7 ett perfekt betyg, eller 100 % (tyvärr fick inget företag ett perfekt betyg!). En 5/7 är 71%, vilket definieras som rättvist.

Nedan finns en enkel guide till betygsättningen. Nedanför ser du betygen för varje företag.

Betygsguide

85-100%: Bra
71-84%: Rättvist
0-70%: Utrymme för förbättring

Facebook

När det gäller slutanvändares lösenordssäkerhetsvänlighet leder nästan 18-åriga Facebook vägen.

Vi kanske kan krita detta till år av erfarenhet och händelser som tvingade företaget att lära sig den hårda vägen. Företaget får nästan perfekt poäng - och med nästan 3 miljarder aktiva användare varje månad skulle man hoppas att det underlättar möjligheten till starka lösenord.

Lösenordssäkerhet: Bra

✅ Tillåter lösenord ≥ 40 tecken

✅ Tillåter användare att klistra in lösenord

✅ Erbjuder tvåfaktorsautentisering

✅ Tillåter autentiseringsappar

✅ Tillåter autentiseringshårdvara

✅ Informerar användare om lösenordsåterställning

⛔ Kräver inte inloggning med nytt lösenord

SÄKERHETSPOINT FÖR LÖSENORD: 85 %

Instagram

Instagram, en annan metaproduktion, visar också starkt. Företaget har funnits i nästan 12 år, så det är dags att göra övergången till att tillåta autentiseringshårdvara.

Lösenordssäkerhet: Rättvist

✅ Tillåter lösenord ≥ 40 tecken

✅ Tillåter användare att klistra in lösenord

✅ Erbjuder tvåfaktorsautentisering

✅ Tillåter autentiseringsappar

⛔ Tillåter inte autentiseringshårdvara

✅ Informerar användare om lösenordsåterställning

⛔ Kräver inte inloggning med nytt lösenord

SÄKERHETSPOINT FÖR LÖSENORD: 71 %

TikTok

Ett relativt ungt företag, enligt sociala mediestandarder, har TikTok en väg att gå när det kommer till användarvänlighet för lösenordssäkerhet.

Det gör kardinalfelen att begränsa lösenordslängden och inte erbjuda 2FA. Autentiseringsappar och hårdvara är inte ett alternativ, och det tar inte det enkla steget att informera användarna om en lösenordsåterställning.

Lösenordssäkerhet: utrymme för förbättringar

⛔ Tillåter inte lösenord ≥ 40 tecken

✅ Tillåter användare att klistra in lösenord

⛔ Erbjuder inte tvåfaktorsautentisering

⛔ Tillåter inte autentiseringsappar

⛔ Tillåter inte autentiseringshårdvara

⛔ Informerar inte användare om lösenordsåterställning

✅ Kräver inloggning med nytt lösenord

SÄKERHETSPOINT FÖR LÖSENORD: 28 %

Snapchat

Snapchats anställningstid (10+ år) betyder att det borde göras fler framsteg på autentiseringsfronten.

Lösenordssäkerhet: utrymme för förbättringar

✅ Tillåter lösenord ≥ 40 tecken

✅ Tillåter användare att klistra in lösenord

✅ Erbjuder tvåfaktorsautentisering

✅ Tillåter autentiseringsappar

⛔ Tillåter inte autentiseringshårdvara

⛔ Informerar inte användare om lösenordsåterställning

⛔ Kräver inte inloggning med nytt lösenord

SÄKERHETSPOINT FÖR LÖSENORD: 57 %

YouTube

Liksom Facebook kommer den 17-årige YouTube bäst. Detta underlättas av det faktum att användare loggar in på YouTube med sina Google-konton, så en användares YouTube-lösenord är detsamma som hans eller hennes Google-kontolösenord.

Google har smarta och starka lösenordskrav på plats. Dess framåtsträvande tillvägagångssätt för autentiseringsappar och hårdvara skiljer den åt, liksom dess sunt förnuftiga metoder relaterade till grundläggande lösenordshushållning, som att informera användare om lösenordsåterställningar.

Lösenordssäkerhet: Bra

✅ Tillåter lösenord ≥ 40 tecken

✅ Tillåter användare att klistra in lösenord

✅ Erbjuder tvåfaktorsautentisering

✅ Tillåter autentiseringsappar

✅ Tillåter autentiseringshårdvara

✅ Informerar användare om lösenordsåterställning

✅ Kräver inloggning med nytt lösenord

SÄKERHETSPOINT FÖR LÖSENORD: 100 %

Sammanfattning

Det finns några mönster här. För det första, ju äldre företaget är, desto mer sannolikt är det att de underlättar möjligheter för slutanvändares lösenordssäkerhet. Med ett undantag begränsar dessa företag inte lösenordslängden och erbjuder tvåfaktorsautentisering.

När det kommer till brister måste fler företag ta en sida från Facebook och tillåta användning av både autentiseringsappar och autentiseringshårdvara. De bör också informera sina användare varje gång deras lösenord återställs. Detta är inte svårt och kan löna sig i utdelning.

Ett starkt lösenord för sociala medier är viktigt. Konton på sociala medier innehåller vanligtvis en skattkammare av personlig information som kan användas för mer sofistikerade cyberrelaterade attacker, såsom social ingenjörskonst och identitetsstöld. Och med tanke på hur mycket människor tenderar att avslöja på sociala medier, kan lösenordsintrång också äventyra ens fysiska säkerhet.

Hur presterade dina favoriter på sociala medier? Följ Bitwarden på Twitter och låt oss veta.

Kom igång med Bitwarden

Är du redo att komma igång med en lösenordshanterare idag? Kom snabbt igång med ett gratis Bitwarden-konto, eller registrera dig för en 14-dagars gratis provperiod av våra affärsplaner så att ditt företag och dina kollegor kan hålla sig skyddade.

Branschledares säkerhetsrankningsserie

Kom ikapp resten av serien för att se hur de bästa företagen i följande branscher klarar sig när det gäller att låta konsumenter använda starka lösenord:

Back to Blog

Get started with Bitwarden today.