To tredjedele af brugerne ændrer ikke deres adgangskoder, selv efter et dataforbrydelse
Brugere er ofte ret stemmelige over deres utilfredshed i kølvandet på et dataovertrædelse, og du kan hævde, at dette er helt forståeligt. Når alt kommer til alt ved at tilmelde dig en service, overlader du udbyderen dine data, og når de ikke er beskyttet så godt som de skal være, har du al ret til at blive forstyrret. Det viser sig imidlertid, at mens mange mennesker er parate til at gå til sociale medier for at udtrykke deres vrede mod det firma, der har lidt et brud, er ikke alle af dem villige til at tage enkle skridt for at beskytte sig selv.
Table of Contents
Kun en tredjedel af brugerne, der er berørt af dataovertrædelser, ændrer deres adgangskoder
Der er mere end et par måder at lagre folks adgangskoder på, og i kølvandet på en sikkerhedshændelse er det meget vigtigt at lære, hvilken adgangskodelagringsmetode den overtrådte udbyder har brugt. Hvis legitimationsoplysningerne er gemt korrekt (dvs. hashet og saltet med en robust hashing-algoritme), vil hackerne, der stjæler dem, have svært ved at bruge dem til at kompromittere folks konti. Hvis de på den anden side gemmes i klartekst, er risikoen meget højere.
Uanset hvad rådes brugerne altid om at ændre deres adgangskoder ud af en overflod af forsigtighed. En undersøgelse foretaget af forskere fra Carnegie Melon University viser imidlertid, at de fleste simpelthen ikke gider.
To hundrede og niogtredive mennesker accepterede at deltage i undersøgelsen, som viste, at kun en ud af tre brugere af en overtrådt tjeneste er villig til at ændre deres adgangskode, efter at de lærer om hændelsen. Deltagerne havde speciel software på deres hjemmecomputere, der registrerede deres browserhistorik og strengene, de indtastede i websteder 'HTML-felter for perioden mellem januar 2017 og december 2018. Tresogtreds brugere havde konti på websteder og applikationer involveret i de ni største dataovertrædelser, der blev annonceret i denne periode, og kun 21 af dem ændrede deres adgangskoder, efter at de blev gjort opmærksom på hændelsen.
Det må siges, at dette er en relativt lille undergruppe af brugere, og at drage generelle konklusioner baseret på disse data er sandsynligvis ikke den bedste idé. Tallene er imidlertid foruroligende, især når du ser, hvordan folk handler, når de beslutter at ændre deres adgangskode.
Folk kan stadig ikke oprette stærke, unikke adgangskoder til deres konti
Selv dem, der ændrede deres kompromitterede adgangskoder, havde ikke travlt med at gøre det. Af de 21 brugere udskiftede kun 15 deres adgangskoder inden for tre måneder efter meddelelsen om dataovertrædelse. Dette er langt fra det eneste problem.
Som du måske har gætt, fremhævede undersøgelsen problemet med genanvendelse af adgangskode for den 16. gang. Forskerne vurderede, at de 21 brugere, der ændrede deres adgangskoder på det overtrådte domæne, i gennemsnit havde 30 konti med lignende adgangskoder. Kun 14 personer besluttede også at beskytte nogle af dem, og i gennemsnit ændrede de kun fire yderligere adgangskoder. Desuden var de nye adgangskoder ikke rigtig nye. Meget næsten 70% af de nyligt tildelte adgangskoder var så stærke som eller svagere end de originale, og de fleste af dem var afledt af de gamle.
Hvem har skylden?
Det er ret klart, at situationen ikke er helt ideel. Folk forstår ikke risikoen forbundet med kompromitterede adgangskoder. Tilsyneladende ved de heller ikke, hvor farlige legitimationsudstoppningsangreb kan være, og de ser ud til at være intet galt med at bruge de samme adgangskoder til snesevis af forskellige konti.
Det ville være let at beskylde brugerne på samme måde som de bebrejder tjenesteudbydere, når der sker en dataovertrædelse, men sandheden er, at folk bare ikke er uddannede nok til at vide, hvor stor risiko de sætter sig selv på ved deres kontinuerlige brug af kompromitterede eller svage adgangskoder. Tjenesteudbydere skal fortælle brugerne, hvad de har at gøre med, og når der sker en overtrædelse, skal de være så gennemsigtige som muligt om de potentielle konsekvenser.
Mange mennesker regner med, at den eneste måde at løse adgangskode-problemet ville være at fjerne det helt og finde en ny godkendelsesmekanisme, der skal erstatte det, men det er klart, at vi stadig er langt væk fra at nå dette. For alle dens ulemper, indtil videre, sidder vi fast med adgangskoden, og vi må finde en måde at bruge det til det bedste fra vores fordel.
