Zwei Drittel der Benutzer ändern ihre Passwörter auch nach einem Datenverstoß nicht

Benutzer äußern sich nach einem Datenverstoß oft ziemlich lautstark über ihr Missfallen, und Sie könnten argumentieren, dass dies völlig verständlich ist. Wenn Sie sich für einen Dienst anmelden, vertrauen Sie dem Anbieter Ihre Daten an, und wenn diese nicht so gut geschützt sind, wie sie sein sollten, haben Sie das Recht, verärgert zu sein. Es stellt sich jedoch heraus, dass viele Menschen zwar bereit sind, soziale Medien zu nutzen, um ihre Wut gegen das Unternehmen auszudrücken, das einen Verstoß erlitten hat, aber nicht alle bereit sind, einfache Schritte zu unternehmen, um sich selbst zu schützen.

Nur ein Drittel der von Datenschutzverletzungen betroffenen Benutzer ändert ihre Passwörter

Es gibt nicht nur einige Möglichkeiten, die Kennwörter von Personen zu speichern. Nach einem Sicherheitsvorfall ist es sehr wichtig zu erfahren, welche Kennwortspeichermethode der Anbieter verwendet hat, gegen den verstoßen wurde. Wenn die Anmeldeinformationen korrekt gespeichert sind (dh mit einem robusten Hashing-Algorithmus gehasht und gesalzen wurden), fällt es den Hackern, die sie stehlen, schwer, sie zu verwenden, um die Konten von Personen zu gefährden. Wenn sie andererseits im Klartext gespeichert werden, sind die Risiken viel höher.

In jedem Fall wird Benutzern immer empfohlen, ihre Passwörter aus Vorsicht zu ändern. Eine Studie von Forschern der Carnegie Melon University zeigt jedoch, dass sich die meisten Menschen einfach nicht darum kümmern.

Zweihundertneunundvierzig Personen stimmten der Teilnahme an der Umfrage zu, die ergab, dass nur jeder dritte Benutzer eines verletzten Dienstes bereit ist, sein Passwort zu ändern, nachdem er von dem Vorfall erfahren hat. Die Teilnehmer hatten spezielle Software auf ihren Heimcomputern, die ihren Browserverlauf und die Zeichenfolgen, die sie in die HTML-Felder der Websites eingegeben hatten, für den Zeitraum zwischen Januar 2017 und Dezember 2018 aufzeichneten. Dreiundsechzig Benutzer hatten Konten auf den Websites und Anwendungen, die an den neun größten beteiligt waren In diesem Zeitraum wurden Datenverletzungen angekündigt, und nur 21 von ihnen haben ihre Passwörter geändert, nachdem sie auf den Vorfall aufmerksam gemacht wurden.

Es muss gesagt werden, dass dies eine relativ kleine Untergruppe von Benutzern ist, und es ist wahrscheinlich nicht die beste Idee, allein auf der Grundlage dieser Daten allgemeine Schlussfolgerungen zu ziehen. Die Zahlen sind jedoch besorgniserregend, insbesondere wenn Sie sehen, wie sich Personen verhalten, wenn sie sich entscheiden, ihr Passwort zu ändern.

Die Benutzer können immer noch keine eindeutigen Kennwörter für ihre Konten erstellen

Selbst diejenigen, die ihre kompromittierten Passwörter geändert haben, hatten es nicht eilig, dies zu tun. Von den 21 Benutzern tauschten nur 15 ihre Passwörter innerhalb von drei Monaten nach Bekanntgabe der Datenschutzverletzung aus. Dies ist bei weitem nicht das einzige Problem.

Wie Sie vielleicht erraten haben, hat die Umfrage das Problem der Wiederverwendung von Passwörtern zum x-ten Mal hervorgehoben. Die Forscher schätzten, dass die 21 Benutzer, die ihre Passwörter in der verletzten Domain geändert hatten, durchschnittlich 30 Konten mit ähnlichen Passwörtern hatten. Nur 14 Personen haben beschlossen, einige von ihnen ebenfalls zu schützen, und im Durchschnitt haben sie nur vier zusätzliche Passwörter geändert. Außerdem waren die neuen Passwörter nicht wirklich neu. Fast 70% der neu zugewiesenen Passwörter waren so stark oder schwächer als die ursprünglichen, und die meisten von ihnen wurden von den alten abgeleitet.

Wer ist schuld?

Es ist ziemlich klar, dass die Situation nicht gerade ideal ist. Die Leute verstehen die mit kompromittierten Passwörtern verbundenen Risiken nicht. Anscheinend wissen sie auch nicht, wie gefährlich Angriffe auf das Ausfüllen von Anmeldeinformationen sein können, und sie scheinen nichts Falsches daran zu finden, dieselben Passwörter für Dutzende verschiedener Konten zu verwenden.

Es wäre leicht, die Benutzer auf die gleiche Weise zu beschuldigen, wie sie den Dienstanbietern die Schuld geben, wenn ein Datenverstoß auftritt, aber die Wahrheit ist, dass die Leute einfach nicht genug ausgebildet sind, um zu wissen, wie viel Risiko sie durch die kontinuierliche Verwendung von Kompromissen eingehen oder schwache Passwörter. Dienstanbieter müssen den Benutzern mitteilen, womit sie es zu tun haben, und wenn ein Verstoß auftritt, müssen sie über die möglichen Folgen so transparent wie möglich sein.

Viele Leute glauben, dass die einzige Möglichkeit, das Passwortproblem zu lösen, darin besteht, es vollständig zu lösen und einen neuen Authentifizierungsmechanismus zu finden, um es zu ersetzen, aber es ist klar, dass wir noch weit davon entfernt sind, dies zu erreichen. Trotz all seiner Nachteile bleiben wir vorerst beim Passwort und müssen einen Weg finden, es optimal zu nutzen.