A felhasználók kétharmada nem változtatja meg jelszavát még az adatok megsértése után sem
A felhasználók gyakran meglehetősen hangosan gondolkodnak az adatsértés következményeiben tapasztalt kellemetlenségüktől, és azt állíthatják, hogy ez teljesen érthető. Végül is, amikor feliratkozik egy szolgáltatásra, rájuk bízza a szolgáltatót az adataival, és amikor azok nem olyan védettek, mint amilyennek lennie kellene, akkor minden joga megvan idegesen. Kiderül, hogy bár sokan hajlandóak felvenni a közösségi médiát, hogy kifejezzék haragjukat a jogsértést elszenvedő társasággal szemben, nem mindannyian hajlandóak egyszerű lépéseket tenni maguk védelmére.
Table of Contents
Az adatok megsértése által érintett felhasználóknak csak egyharmada cseréli a jelszavát
Az emberek jelszavainak tárolásának kevesebb módja létezik, és egy biztonsági esemény következményeként nagyon fontos megtanulni, hogy milyen jelszó-tárolási módszert használt a megsértett szolgáltató. Ha a hitelesítő adatokat helyesen tárolják (azaz kivonatolták és sóztak egy robusztus kivonatoló algoritmussal), akkor a támadó hackereknek nehéz lesz őket felhasználniuk az emberek számláinak veszélyeztetésére. Ha viszont egyszerű szöveges formában menti őket, akkor a kockázatok sokkal magasabbak.
Akárhogy is is van, a felhasználóknak mindig azt tanácsolják, hogy a jelszavaikat óvatosan változtassák meg. A Carnegie Melon Egyetem kutatóinak tanulmánya azonban azt mutatja, hogy a legtöbb ember egyszerűen nem zavar.
Kétszáznegyvenkilenc ember beleegyezett abba, hogy részt vegyen a felmérésben, amely azt mutatta, hogy a megsértett szolgáltatás mindössze harmada hajlandó megváltoztatni jelszavát, miután megismerte az eseményt. A résztvevők speciális szoftverrel rendelkeztek otthoni számítógépükön, amely rögzítette böngészési előzményeiket és a weboldalak HTML mezőiben bevitt karakterláncokat a 2017. január és 2018. december közötti időszakra. Hatvanhárom felhasználónak volt fiókja a kilenc legnagyobb weboldalon és az alkalmazásokon. az abban az időszakban bejelentett adatsértések, és csak 21 közülük megváltoztatta jelszavát, miután tudomást szereztek az eseményről.
Meg kell mondani, hogy ez a felhasználók viszonylag kis részhalmaza, és önmagában ezen adatok alapján általános következtetések levonása valószínűleg nem a legjobb ötlet. A számok azonban aggasztóak, különösen, ha látja, hogyan viselkednek az emberek, amikor úgy döntenek, hogy megváltoztatják a jelszavukat.
Az emberek még mindig nem tudnak erős, egyedi jelszavakat létrehozni fiókjaikhoz
Még azok sem, akik megváltoztatták a veszélyeztetett jelszavaikat, nem voltak túl sokszor sietek. A 21 felhasználó közül csak 15 cserélte át jelszavát az adatok megsértéséről szóló értesítéstől számított három hónapon belül. Ez messze nem az egyetlen probléma.
Mint valószínűleg sejtette, a felmérés a tizenhatodik alkalommal emelte fel a jelszó újbóli felhasználásának problémáját. A kutatók becslése szerint a 21 felhasználónak, aki megváltoztatta a jelszavát a megsértett domainben, átlagosan 30 fiók volt hasonló jelszóval. Csak 14 ember úgy döntött, hogy néhányat is megvédi, és átlagosan csak négy további jelszót cseréltek ki. Sőt, az új jelszavak nem voltak igazán újak. Az újonnan kiosztott jelszavak csaknem 70% -a volt olyan erős vagy gyengébb, mint az eredeti, és legtöbbjük a régiekből származik.
Ki a hibás?
Nagyon világos, hogy a helyzet nem pontosan ideális. Az emberek nem értik a veszélyeztetett jelszavakkal kapcsolatos kockázatokat. Nyilvánvaló, hogy nem tudják, milyen veszélyes lehet a hitelesítő adatok kitöltése, és úgy tűnik, hogy semmi rosszat találnak, ha ugyanazokat a jelszavakat több tucat különböző fiókban használják.
Könnyű lenne hibáztatni a felhasználókat, ugyanúgy, mint a szolgáltatókat, amikor adatmegsértés történik, de az igazság az, hogy az emberek egyszerűen nem elég képzettek ahhoz, hogy tudják, mennyi kockázatot vállalnak magukra a kompromittált folyamatos felhasználásukkal vagy gyenge jelszavak. A szolgáltatóknak tájékoztatniuk kell a felhasználókat arról, hogy miről van szó, és amikor jogsértés történik, a lehető legátláthatóbbnak kell lenniük a lehetséges következményekről.
Sokan úgy vélik, hogy a jelszóprobléma megoldásának egyetlen módja az, ha teljes mértékben megoldják azt, és új hitelesítési mechanizmust találnak annak helyettesítésére, de nyilvánvaló, hogy még messze vagyunk távol a cél elérésétől. Minden hátránya ellen jelenleg eltapadtunk a jelszóval, és meg kell találnunk a módját arra, hogy a lehető legjobban kihasználjuk.
