Τα δύο τρίτα των χρηστών δεν αλλάζουν τον κωδικό πρόσβασής τους ακόμη και μετά από παραβίαση δεδομένων
Οι χρήστες είναι συχνά μάλλον φωνητικοί για τη δυσαρέσκειά τους μετά από παραβίαση δεδομένων και θα μπορούσατε να υποστηρίξετε ότι αυτό είναι απολύτως κατανοητό. Σε τελική ανάλυση, με την εγγραφή σας σε μια υπηρεσία, αναθέτετε στον πάροχο τα δεδομένα σας και όταν δεν προστατεύεται όπως θα έπρεπε, έχετε κάθε δικαίωμα να αναστατωθείτε. Αποδεικνύεται, ωστόσο, ότι ενώ πολλοί άνθρωποι είναι έτοιμοι να μεταβούν στα μέσα κοινωνικής δικτύωσης για να εκφράσουν τον θυμό τους εναντίον της εταιρείας που υπέστη παραβίαση, δεν είναι όλοι πρόθυμοι να λάβουν απλά μέτρα για να προστατευθούν.
Table of Contents
Μόνο το ένα τρίτο των χρηστών που επηρεάζονται από παραβιάσεις δεδομένων αλλάζουν τους κωδικούς πρόσβασης
Υπάρχουν περισσότεροι από μερικοί τρόποι αποθήκευσης των κωδικών πρόσβασης των ατόμων, και μετά από ένα συμβάν ασφαλείας, είναι πολύ σημαντικό να μάθετε ποια μέθοδο αποθήκευσης κωδικού πρόσβασης έχει χρησιμοποιήσει ο πάροχος παραβίασης. Εάν τα διαπιστευτήρια αποθηκεύονται σωστά (δηλαδή, κατακερματισμένα και αλατισμένα με έναν ισχυρό αλγόριθμο κατακερματισμού), τότε οι εισβολείς που τους κλέβουν θα δυσκολευτούν να τα χρησιμοποιήσουν για να διακυβεύσουν τους λογαριασμούς των χρηστών. Εάν, από την άλλη πλευρά, αποθηκεύονται σε απλό κείμενο, οι κίνδυνοι είναι πολύ υψηλότεροι.
Σε κάθε περίπτωση, συνιστάται στους χρήστες να αλλάζουν τους κωδικούς πρόσβασής τους με μεγάλη προσοχή. Μια μελέτη από ερευνητές από το Πανεπιστήμιο Carnegie Melon δείχνει, ωστόσο, ότι οι περισσότεροι άνθρωποι απλά δεν ενοχλούνται.
Διακόσια σαράντα εννέα άτομα συμφώνησαν να συμμετάσχουν στην έρευνα, η οποία έδειξε ότι μόνο ένας στους τρεις χρήστες μιας παραβιασμένης υπηρεσίας είναι πρόθυμος να αλλάξει τον κωδικό πρόσβασής τους αφού μάθουν για το συμβάν. Οι συμμετέχοντες είχαν ειδικό λογισμικό στους οικιακούς υπολογιστές τους που κατέγραψαν το ιστορικό περιήγησής τους και τις συμβολοσειρές που εισήγαγαν στα πεδία HTML ιστότοπων για την περίοδο μεταξύ Ιανουαρίου 2017 και Δεκεμβρίου 2018. Εξήντα τρεις χρήστες είχαν λογαριασμούς στους ιστότοπους και τις εφαρμογές που εμπλέκονται στους εννέα μεγαλύτερους οι παραβιάσεις δεδομένων ανακοινώθηκαν κατά τη διάρκεια αυτής της περιόδου και μόνο 21 από αυτούς άλλαξαν τους κωδικούς πρόσβασής τους αφού ενημερώθηκαν για το συμβάν.
Πρέπει να πούμε ότι πρόκειται για ένα σχετικά μικρό υποσύνολο χρηστών, και η εξαγωγή γενικών συμπερασμάτων με βάση αυτά τα δεδομένα από μόνη της δεν είναι πιθανώς η καλύτερη ιδέα. Ωστόσο, οι αριθμοί είναι ανησυχητικοί, ειδικά όταν βλέπετε πώς ενεργούν οι άνθρωποι όταν αποφασίζουν να αλλάξουν τον κωδικό πρόσβασής τους.
Τα άτομα εξακολουθούν να μην μπορούν να δημιουργήσουν ισχυρούς, μοναδικούς κωδικούς πρόσβασης για τους λογαριασμούς τους
Ακόμα και εκείνοι που άλλαξαν τους παραβιασμένους κωδικούς πρόσβασης δεν βιάστηκαν να το κάνουν. Από τους 21 χρήστες, μόνο 15 άλλαξαν τους κωδικούς πρόσβασης εντός τριών μηνών από την ανακοίνωση παραβίασης δεδομένων. Αυτό απέχει πολύ από το μόνο πρόβλημα.
Όπως ίσως μαντέψατε, η έρευνα υπογράμμισε το πρόβλημα της επαναχρησιμοποίησης κωδικού πρόσβασης για δέκατη φορά. Οι ερευνητές υπολόγισαν ότι οι 21 χρήστες που άλλαξαν τους κωδικούς πρόσβασης στον παραβιασμένο τομέα είχαν κατά μέσο όρο 30 λογαριασμούς με παρόμοιους κωδικούς πρόσβασης. Μόνο 14 άτομα αποφάσισαν να προστατεύσουν και μερικούς από αυτούς, και κατά μέσο όρο, άλλαξαν μόνο τέσσερις επιπλέον κωδικούς πρόσβασης. Επιπλέον, οι νέοι κωδικοί πρόσβασης δεν ήταν πραγματικά νέοι. Πολύ σχεδόν το 70% των πρόσφατα εκχωρημένων κωδικών πρόσβασης ήταν τόσο ισχυροί όσο και πιο αδύναμοι από τους αρχικούς, και οι περισσότεροι από αυτούς προέρχονταν από τους παλιούς.
Ποιός φταίει?
Είναι αρκετά σαφές ότι η κατάσταση δεν είναι ακριβώς ιδανική. Οι άνθρωποι δεν καταλαβαίνουν τους κινδύνους που σχετίζονται με παραβιασμένους κωδικούς πρόσβασης. Προφανώς, δεν ξέρουν πόσο επικίνδυνες θα μπορούσαν να είναι και οι επιθέσεις γεμίσματος διαπιστευτηρίων και φαίνεται να μην βρίσκουν τίποτα λάθος με τη χρήση των ίδιων κωδικών πρόσβασης για δεκάδες διαφορετικούς λογαριασμούς.
Θα ήταν εύκολο να κατηγορούμε τους χρήστες με τον ίδιο τρόπο που κατηγορούν τους παρόχους υπηρεσιών κάθε φορά που συμβαίνει παραβίαση δεδομένων, αλλά η αλήθεια είναι ότι οι άνθρωποι δεν είναι αρκετά μορφωμένοι ώστε να γνωρίζουν τον κίνδυνο που διατρέχουν με τη συνεχή χρήση συμβιβασμένων ή αδύναμους κωδικούς πρόσβασης. Οι πάροχοι υπηρεσιών πρέπει να ενημερώνουν τους χρήστες για το τι αντιμετωπίζουν και όταν συμβαίνει παραβίαση, πρέπει να είναι όσο το δυνατόν πιο διαφανείς σχετικά με τις πιθανές συνέπειες.
Πολλοί άνθρωποι πιστεύουν ότι ο μόνος τρόπος επίλυσης του προβλήματος του κωδικού πρόσβασης θα ήταν να το αντιμετωπίσουμε εντελώς και να βρούμε έναν νέο μηχανισμό ελέγχου ταυτότητας για να τον αντικαταστήσουμε, αλλά είναι σαφές ότι απέχουμε πολύ μακριά από την επίτευξη αυτού. Για όλα τα μειονεκτήματά του, προς το παρόν, έχουμε κολλήσει με τον κωδικό πρόσβασης και πρέπει να βρούμε έναν τρόπο να το χρησιμοποιήσουμε στο μέγιστο δυνατό όφελος.
