Nur ein Drittel der Opfer von Datenverletzungen ändert laut neuen Studienergebnissen ihre Passwörter

Ständige Sorgen und Stress nützen Körper, Geist und Seele nichts. Davon abgesehen könnten einige Leute über die falschen Dinge zu entspannt sein. Die Passwortsicherheit ist eine davon. Selbst wenn Passwörter verletzt werden, beeilen sich nicht alle Menschen, das Problem zu beheben. Es ist unnötig zu erwähnen, dass die virtuelle Sicherheit von Personen, die nach Datenverletzungen keine Kennwörter ändern, gefährdet und auf viele verschiedene Arten von vielen verschiedenen böswilligen Parteien gefährdet werden kann. Um die Verletzung noch schlimmer zu machen, gibt es immer noch viele Leute, die Passwörter plattformübergreifend wiederverwenden, wodurch sie einem noch größeren Risiko ausgesetzt sind. Bis Sie diesen Bericht gelesen haben, werden wir Sie hoffentlich davon überzeugt haben, dass jedes Passwort eindeutig sein muss und dass das Ändern von Passwörtern nach Datenverletzungen nicht verhandelbar ist.

Nicht alle Opfer von Datenschutzverletzungen ändern Kennwörter

Forscher der Carnegie Mellon University und der Indiana University Bloomington haben eine Studie durchgeführt , an der 249 Personen teilnahmen. Sie überprüften, wie viele dieser Teilnehmer Konten auf 9 verschiedenen Websites hatten (yahoo.com, mufitnesspal.com, chegg.com, disqus.com, cashcrate.com, flvs.net, ancestry.com, Imgur.com und deloitte.com) ), bei denen zwischen 2017 und 2018 alle kennwortbeeinträchtigende Datenverletzungen aufgetreten sind. Allein während der MyFitnessPal-Datenverletzung im Jahr 2018 sind 150 Millionen Passwörter durchgesickert, und Chegg hat in den letzten drei Jahren drei Datenschutzverletzungen erlebt . Obwohl die von diesen Plattformen angebotenen Dienste Hunderten von Millionen Menschen auf der ganzen Welt vertrauen und von ihnen genutzt werden, können selbst seriöse Dienstleister Datenverletzungen nicht immer verhindern. Im Idealfall werden Verstöße sofort entdeckt und die Opfer werden gewarnt, damit geeignete Sicherheitsmaßnahmen ergriffen werden können. Leider dauert es in einigen Fällen Monate oder sogar Jahre, bis Verstöße entdeckt werden. Und manchmal melden Dienstanbieter Verstöße nicht rechtzeitig, obwohl sie über die Vorfälle Bescheid wissen.

Die Studie ergab, dass von 63 Teilnehmern, die Konten auf den aufgeführten Websites hatten, nur 21 Änderungen vorgenommen haben. Das bedeutet, dass zwei Drittel der Teilnehmer die Passwörter überhaupt nicht geändert haben. Der Yahoo-Datenverstoß von 2017 ist aufgrund der Unternehmensgeschichte mit schwerwiegenden Datenverstößen bei weitem der am häufigsten gemeldete von neun Fällen . Die Opfer wurden aufgefordert, die Passwörter einzeln zu ändern. Während 49 Teilnehmer Yahoo-Konten hatten, änderten nur 18 von ihnen Passwörter. Das ist schockierend, aber dies zeigt perfekt, wie nachlässig Menschen in Bezug auf die Passwortsicherheit sind. Sicher, nicht alle Menschen verstehen das Konzept, was ein Passwort wirklich ist. Immerhin ist es nur eine beliebige Folge von zufälligen Zeichen. Außerdem gehen die Leute oft davon aus, dass ihnen nichts Schlimmes passieren wird oder dass Cyberkriminelle definitiv nicht an ihren Konten interessiert sind. Vernachlässigung, Faulheit und mangelndes Wissen führen oft zu schlechten Passwortgewohnheiten.

Menschen können verletzte Passwörter nicht durch starke Kombinationen ersetzen

Selbst wenn Benutzer Kennwörter nach Datenverletzungen schnell ändern, befolgen sie nicht immer die Richtlinien zum Erstellen sicherer Kennwörter. Untersuchungen der Carnegie Mellon University und der Indiana University Bloomington überprüften die Passwörter, die 21 Teilnehmer geändert hatten. Nur 9 von ihnen schafften es, stärkere Kombinationen zu erstellen, während 12 ihre Passwörter auf der gleichen Stärke hielten oder sie sogar schwächer machten. 30 ihrer Passwörter waren denen sehr ähnlich, die verletzt wurden und geändert werden mussten. Die Studie ergab auch, dass die Wiederverwendung von Passwörtern weit verbreitet war. Insgesamt wurden während der Studie 3041 Passwortänderungen beobachtet, und 70% dieser Änderungen machten keinen Unterschied bei der Passwortverbesserung oder machten die Passwörter sogar schwächer.

Es gibt mehrere hypothetische Gründe, warum Menschen bei Änderungen nicht aufmerksamer sind. Erstens verstehen sie möglicherweise nicht, wie wünschenswert Passwörter unter Cyberkriminellen sind, und wählen daher möglicherweise Passwörter mit derselben oder einer schwächeren Stärke, nur weil sie nicht glauben, dass jemand interessiert wäre. Zweitens verstehen sie möglicherweise auch nicht, wie einfach es für Cyberkriminelle ist, Passwörter mit neuer Technologie zu verletzen, zu erraten und zu erzwingen. Schließlich ist die Ermüdung von Passwörtern eine echte Sache, und die Leute wissen oft nicht, wie sie geändert werden sollen oder welche Kombinationen als stark angesehen werden. Das liegt an dem Mangel an Grundkenntnissen.

Was ist ein sicheres Passwort?

Wir haben diese Frage in früheren Berichten ausführlicher beantwortet, aber hier sind die Grundvoraussetzungen für ein sicheres Passwort:

  • Das Passwort muss mindestens 12-14 Zeichen lang sein. Je länger das Passwort ist, desto stärker ist es, aber es muss auch andere Anforderungen erfüllen. Wenn ein Dienst nur eine begrenzte Anzahl von Zeichen (z. B. sechs) zulässt, sollten Sie die maximale Länge verwenden.
  • Die Kombination darf KEINE bestimmten Wörter, Namen, Orte, einprägsamen Daten oder Zeichen enthalten, die erratene Wörter zu verbergen scheinen (z. B. Pa $$ w0rd ).
  • Das Passwort MUSS Buchstaben (sowohl Groß- als auch Kleinbuchstaben), Zahlen und Sonderzeichen enthalten, wenn dies möglich ist.
  • Das Passwort darf NICHT wiederholt und recycelt werden. Es ist zwar möglicherweise einfach, ein sicheres Kennwort für alle Konten zu erstellen. Beachten Sie jedoch, dass bei einer Verletzung eines Kontos auch alle anderen mit demselben Kennwort erreichbar sind. Die Verwendung geringfügiger Änderungen desselben Passworts (z. B. Passwort und Passwort 123 ) ist ebenfalls nicht sicher.
  • Verwenden Sie KEINE Standardkennwörter. Wenn Sie neue Software oder Hardware kaufen, ändern Sie die Standardeinstellung immer in eine starke Kombination.

Das Problem mit sicheren Passwörtern besteht darin, dass sie schwer zu merken sind, insbesondere wenn Sie zehn, zwanzig oder vielleicht sogar hundert Passwörter für alle Ihre Konten in den Bereichen Bankwesen, soziale Netzwerke, Einkaufen, Arbeit, Rechnungszahlung, E-Mail und andere haben . Wenn Sie ein Superhirn haben, das sich problemlos an komplexe Kombinationen erinnern kann, geht es Ihnen gut. Wenn Sie jedoch wie die meisten von uns nur Sterbliche sind, benötigen Sie möglicherweise Hilfe bei der Verwaltung aller komplexen Passwörter, die Sie erstellen. Hier bietet sich ein vertrauenswürdiger Passwort-Manager an. Cyclonis Password Manager ist sehr einfach zu verwenden, es kann Passwörter für Sie generieren, es kann Ihnen helfen, Passwörter nach Datenverletzungen zu ändern, es kann die Anmeldung erleichtern und es kann auch wertvollen Schutz bieten. Wenn dies der letzte Schritt in Richtung vollständiger Passwortsicherheit ist, zögern Sie nicht, die kostenlose 30-Tage-Testversion auszuprobieren.

September 1, 2020

Antworten