Enligt en ny rapport från lösenordschef och digital plånbok Dashlane - En slick ny lösenordshanterare, Form Filler & Online Shopping Assistant Dashlane - En slick ny lösenordshanterare, Form Filler & Online Shopping Assistant Om du har försökt några lösenordshanterare innan, du har förmodligen lärt dig att förvänta dig en viss grovhet runt kanterna. De är solida, användbara applikationer, men gränssnittet kan vara alltför komplicerat och obekvämt. Dashlane minskar inte bara ... Läs mer utvecklare Dashlane, de företag du handlar med online är otroligt oförmögna att ge ett adekvat skydd. Du kanske inte är helt förvånad över denna nyhet, men du borde inte falla i den apatiska fällan.
Många av dessa återförsäljare är skyldiga att vara alla på Internet, men är inte i stånd att följa även de mest grundläggande goda rutinerna. Kortfattat kanske du vill tänka om var du spenderar dina pengar online.
Dashlane-rapporten
Dubbat "Illusionen av personuppgiftssäkerhet i e-handel" är den 24 januari-rapporten den första i en serie kvartalsrapporter som ska ge dig avfyrade hur online-återförsäljare hanterar data. Dashlane ansvarar för en lösenordshanterare och en digital plånboksapp med samma namn och medan de har ett intresse för säkerhets mardrömmar kan vi vara övertygade om att företaget vet något eller två om bästa säkerhetspraxis.
Du kan också förvänta dig det från några av de största återförsäljarna på webben, men du hade fel. Samtidigt som Dashlane sammanställde sin rapport utarbetade några av de värsta säkerhetsvanorna för användare och företag, och sedan satte dem på provet. Dessa tekniker inkluderade att använda en lista med välkända enkla lösenord när du registrerade dig (tänk "lösenord" och "123465"), logga in med felaktiga uppgifter (översvämning) och använd kontoens befintliga lösenord för att "återställa" åtkomst.
Men användarna är bara en liten del av det bredare problemet, och återförsäljare ställdes under ännu större granskning. Stränga kriterier inkluderade obligatorisk lösenordslängd och komplexitet, huruvida e-postmeddelanden skickas vid kontot skapande och lösenordsändring och om det finns åtgärder för att hjälpa användarna att skapa starka lösenord. Rapporten blev poäng från 100 till -100, med poäng dras av för dålig praxis.
Detta är en rapport som tittar på tillståndet för online-återförsäljare, alltså "e-handel" i titeln. Därför hittar du inte Facebook, Google, Twitter eller många av dina andra favorittjänster på nätet bland resultaten.
De goda
Det är inte alla dåliga nyheter. Ingen av de valda företagen vägrar att maskera lösenordsfältet vid skapande av konto, till exempel (du måste ta de små segrarna). Och mycket av tiden rapporterar som den här höjdpunkten gör företagen bra. Företag som Apple - alla älskar Apple, eller hur?
Personlig bias åt sidan, de var det enda företaget som presenterades i rapporten för att få en perfekt "100" - vilket innebär att de kryssade varje enskild låda som bad om dem. Och så många som du vet, delas Apples detaljhandelskonto med sitt bredare "Apple ID" -loggningssystem, så dessa metoder delas mellan båda sidor av verksamheten.
Apples perfekta poäng betyder att de gör ganska mycket allt de kan för att hålla dina data säkra och ditt konto bara i dina händer, inklusive att utbilda nya kontoansökningar om fördelarna med ett starkt lösenord, hantera blandade lösenord och se till att ett nytt lösenord är genereras när användarna träffar länken "Glömt lösenord". Apple följdes av Microsoft, Newegg och Chegg som vart och ett gjorde en positiv 65.
Microsoft och Newegg både förlorade poäng för att inte inkludera en lösenordsstyrka, medan Chegg bara krävde en lösenords längd om sex tecken. Nyligen utsatta malware offer Target kom upp trumps också, poäng en solid 60 - med poäng dockas för att inte utbilda användare om starka lösenord och viss lax översvämningskontroll.
Det fanns också några andra stora namn som drog i poäng på 30 eller över, inklusive Best Buy, Walgreens, Nike och Williams-Sonoma . Det här är bra resultat, och medan företagen inte skulle vila på sina laureller, kan du göra mycket sämre ur en online säkerhetssynpunkt.
Det dåliga
Av de 100 återförsäljarna presenterades åtta tillbaka lösenord till användare i ren text. Av de åtta, tre - 1-800-Flowers.com, Blue Nile och Karmaloop - inkluderades användarnamnet eller e-postmeddelandet som är kopplat till det kontot. Leksaker R Us, J.Crew, Dick's Sporting Goods och Aeropostale är de andra skyldiga parterna, och det betyder att deras lösenord lagras i enkeltext också.
Omkring 60% av återförsäljarna tillåter mest accepterade "dåliga" lösenord - varav 70% var nöjda med "abc123". Några av de stora namnen gärna låta kunder öppna konton med "lösenord" inkluderar Amazon, Staples och Walmart . Dessa företag har faktiskt inga skyddsåtgärder alls för att skydda mot svaga lösenord, eftersom de med glädje accepterar "qwerty" och "letmein" också.
Om jag bara har nämnt ditt lösenord, vänligen ändra det.
Översvämningskontroll är en annan dåligt genomförd åtgärd över hela linjen. Amazon kommer ut ogynnsamt igen, vilket tillåter 10 eller fler felaktiga inloggningsförsök utan att låsa kontot. Chocker som det är, är Internet: s största återförsäljare inte ensam: Dell, Bästsälj, Macy's, Leksaker R Us och Vistaprint är alla lyckliga i förnekelse om översvämningsattacker (för att nämna några).
Generellt är resultaten inte bra, särskilt eftersom de största problemen tycks vara närvarande hos de största detaljhandlarna. En poäng på -30 eller lägre anses vara dålig, och företag som drabbas av denna låga punkt är webbens mest upptagna återförsäljare Amazon, snabbköp behemoth Walmart och enormt populär rabattplats Groupon . Andra dåliga prestationer kom från Macy's, Hulu, Disney och Amazon-alternativet Barnes och Noble .
Vi då?
En rapport om de åtgärder som inrättats av online-återförsäljare säger bara så mycket om ett större problem - lax säkerhetspraxis, mycket av tiden från vår sida också. Det finns bara så mycket du kan göra för att skydda dig från identitets- och kreditkortsbedrägeri, eller förlora tillgång till ett konto fullt av inköp, varför inte se till att du har kryssat alla rutor?
Det skulle inte vara nödvändigt att testa mot kända dåliga lösenord om människor inte fortfarande använde dem, så gör det inte. Mannen som använder ett annat lösenord för varje tjänst han registrerar sig för aldrig oroar sig när ett säkerhetsbrott utsätts, gör så som han gör och använd aldrig nytt lösenord. Och varför tänka lösenord när du kan skapa dem säkert 5 Gratis lösenordsgeneratorer för nästan unhackable lösenord 5 Gratis lösenordsgeneratorer för nästan unhackable lösenord Läs mer?
Att behöva komma ihåg fler lösenord än vad du har fingrar blir hård, och så bör du vända dig till en lösenordschef för att göra ditt liv enklare. Dashlane tillhandahåller just det - gratis och cross-platform jag kan lägga till - och vi var ganska förtjust i det i vår recension. Glöm inte den helt gratis KeePass KeePass Password Safe - Det ultimata krypterade lösenordssystemet [Windows, Portable] KeePass Password Safe - Det ultimata krypterade lösenordssystemet [Windows, Portable] Spara dina lösenord säkert. Komplett med kryptering och en anständig lösenordsgenerator - förutom plugins för Chrome och Firefox - KeePass kan bara vara det bästa lösenordshanteringssystemet där ute. Om du ... Läs mer eller dyrt, men kompakt, 1Password Låt 1Password för Mac Hantera dina lösenord och säkra data Låt 1Password för Mac Hantera dina lösenord och säkra data Trots den nya iCloud Keychain-funktionen i OS X Mavericks, är jag fortfarande föredra kraften att hantera mina lösenord i AgileBits klassiska och populära 1Password, nu i sin 4: e version. Läs mer heller. Alla dessa lösningar kommer ihåg lösenord, så du behöver inte - bara ett "master" lösenord.
Poängen
Det största problemet med många av de problem som tas upp i denna rapport är att återförsäljare fortfarande inte hjälper sina mest utsatta kunder - de som inte förstår fördelarna med att inte använda samma lösenord flera gånger eller inte ger en sekund trodde att det var lätt att gissa lösenordet. Det andra problemet är att kända problem - som att skicka lösenord i vanlig text, eller tillåta ett obegränsat antal felaktiga inloggningar - fortsätter att gå oadresserat.
Det bästa sättet att låta sådana företag veta hur du känner för deras förakt för dina personuppgifter är att helt enkelt inte handla där. Som konsumenter i en djungel av val hörs vår högsta roar när vi öppnar våra plånböcker, så genom att välja att inte spendera några pengar bidrar du inte längre till den allmänna känslan av apati när det gäller säkerhet i digital ålder.
Förhoppningsvis säljs detaljhandlarna genom sina dåliga rutiner, och har redan börjat granska deras strategi för säkerhet online, och i nästa rapport ser sakerna redan betydligt bättre ut. Dashlane fullständiga rapport är tillgänglig för nedladdning, så kolla in det om du är bekymrad eller helt enkelt intresserad av hela uppsättningen data.
Överraskad? Upprörda? Ställd? Slå på kommentarerna och släpp lös din vitriol (eller säg något bra), nedan.
Bildkredit: En lektion i säkerhet (pbkwee), Apple Store (Håkan Dahlström)