Loša implementacija autentikacije lozinkom na stranicama koje ne slijede sigurnostne standarde kompromitira zaštitu na sigurnijim stranicama koji se podvrgavaju standardima, otkrili su Joseph Bonneaui Soren Preibusch, znanstvenici s Cambridgea.

Napadači mogu iskoristiti stranicu s loše riješenom autentikacijom kako bi doznali lozinku za njih, a onda ih iskoristiti na stranicama poput Facebooka i internet trgovina, jer mnogi ljudi koriste istu lozinku na više mjesta.

U najvećem istraživanju ovog tipa do sad, skupljeni su podatci sa 150 web stranica i pronađene su mnoge nelogičnosti, nedosljednosti i greške u implementaciji autentikacije lozinkom.

Istraživači ne krive korisnike koji recikliraju lozinke i koriste ista korisnička imena na mnogo servisa, jer današnji korisnik interneta jednostavno ima previše korisničkih računa da bi pamtio podatke za svaki.

78 posto ispitanih stranica korisniku ne nudi nikakav podatak o jačini odabrane lozinke,a samo sedam stranica je tražilo da korisnici koriste slova i brojke u lozinci. Dvije stranice su zatražile da korisnik u lozinku uključi i nealfanumeričke znakove.

Većina stranica, njih 126, korisnicima dopušta neograničeni broj pokušaja pogađanja lozinke, što znači da se ne štite od napada grubom silom.

Generalno, većina stranica se ne drži priznatih najboljih postupaka kad su lozinke u pitanju, a mnoge ih ni ne prenose enkriptirane.

29 posto stranica poslalo je korisnicima lozinke e-mailom.

Najnemarnije su stranice koje ne čuvaju osjetljive podatke o korisnicima, na primjer stranice s vijestima, a najviše paze web trgovine i ostale stranice koje čuvau podatke o plaćanju.