I due terzi degli utenti non cambiano la password anche dopo una violazione dei dati

Changing Passwords After a Data Breach

Gli utenti sono spesso piuttosto espliciti riguardo al loro dispiacere a seguito di una violazione dei dati, e si potrebbe sostenere che ciò è completamente comprensibile. Dopotutto, iscrivendoti a un servizio, stai affidando al fornitore i tuoi dati e, quando non sono protetti come dovrebbero, hai tutto il diritto di essere turbato. Si scopre, tuttavia, che mentre molte persone sono pronte a passare ai social media per esprimere la loro rabbia contro la società che ha subito una violazione, non tutte sono disposte a prendere semplici provvedimenti per proteggersi.

Solo un terzo degli utenti interessati da violazioni dei dati cambia le proprie password

Esistono diversi modi per archiviare le password delle persone e, in seguito a un incidente di sicurezza, è molto importante imparare quale metodo di archiviazione delle password ha utilizzato il provider violato. Se le credenziali vengono archiviate correttamente (ovvero, hash e salate con un robusto algoritmo di hashing), gli hacker che le rubano avranno difficoltà a usarle per compromettere gli account delle persone. Se, d'altra parte, vengono salvati in testo normale, i rischi sono molto più elevati.

In ogni caso, agli utenti viene sempre consigliato di cambiare le loro password con molta cautela. Uno studio condotto da ricercatori della Carnegie Melon University mostra, tuttavia, che la maggior parte delle persone semplicemente non si preoccupa.

Duecentoquarantanove persone hanno accettato di prendere parte al sondaggio, che ha dimostrato che solo uno su tre utenti di un servizio violato è disposto a cambiare la propria password dopo aver appreso dell'incidente. I partecipanti avevano un software speciale sui loro computer domestici che registrava la loro cronologia di navigazione e le stringhe che inserivano nei campi HTML dei siti Web per il periodo tra gennaio 2017 e dicembre 2018. Sessantatre utenti avevano account nei siti Web e nelle applicazioni coinvolte nelle nove le violazioni dei dati sono state annunciate durante quel periodo e solo 21 di loro hanno cambiato la password dopo essere stati informati dell'incidente.

Va detto che si tratta di un sottoinsieme relativamente piccolo di utenti e che trarre conclusioni generali basate solo su questi dati non è probabilmente la migliore idea. I numeri sono preoccupanti, tuttavia, soprattutto quando vedi come agiscono le persone quando decidono di cambiare la password.

Le persone non possono ancora creare password complesse e uniche per i loro account

Anche quelli che hanno cambiato le loro password compromesse non avevano troppa fretta di farlo. Dei 21 utenti, solo 15 hanno scambiato le loro password entro tre mesi dall'annuncio della violazione dei dati. Questo è tutt'altro che l'unico problema.

Come avrete intuito, il sondaggio ha evidenziato per l'ennesima volta il problema del riutilizzo della password. I ricercatori hanno stimato che i 21 utenti che hanno cambiato le loro password nel dominio violato avevano in media 30 account con password simili. Solo 14 persone hanno deciso di proteggere anche alcune di esse e, in media, hanno cambiato solo quattro password aggiuntive. Inoltre, le nuove password non erano davvero nuove. Quasi il 70% delle nuove password assegnate erano tanto forti quanto più deboli di quelle originali e la maggior parte derivava da quelle vecchie.

Di chi è la colpa?

È abbastanza chiaro che la situazione non è esattamente ideale. Le persone non comprendono i rischi associati alle password compromesse. Apparentemente, non sanno nemmeno quanto possano essere pericolosi gli attacchi di riempimento delle credenziali e sembrano non trovare nulla di sbagliato nell'usare le stesse password per dozzine di account diversi.

Sarebbe facile incolpare gli utenti nello stesso modo in cui incolpano i fornitori di servizi ogni volta che si verifica una violazione dei dati, ma la verità è che le persone non sono abbastanza istruite per sapere a quali rischi si corrono con il loro uso continuo di compromessi o password deboli. I fornitori di servizi devono far sapere agli utenti con cosa hanno a che fare e, quando si verifica una violazione, devono essere il più trasparenti possibile sulle potenziali conseguenze.

Molte persone ritengono che l'unico modo per risolvere il problema con la password sarebbe quello di risolverlo del tutto e di trovare un nuovo meccanismo di autenticazione per sostituirlo, ma è chiaro che siamo ancora molto lontani dal raggiungere questo obiettivo. Con tutti i suoi svantaggi, per ora, siamo bloccati con la password e dobbiamo trovare un modo per usarla al meglio dei nostri vantaggi.

June 8, 2020
Caricamento in corso...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.