ユーザーの3分の2は、データ侵害の後でさえパスワードを変更しません

多くの場合、ユーザーはデータ侵害の余波に不快感を表明しますが、これは完全に理解できると主張できます。結局のところ、サービスにサインアップすることで、プロバイダーにデータを委託することになります。保護されていない場合や保護されていない場合は、すべての権利を失うことになります。しかし、多くの人々は、侵害を受けた会社に対する彼らの怒りを表現するためにソーシャルメディアに行く準備ができていますが、すべての人が自分自身を保護するための簡単な手段をとるつもりはありません。

データ侵害の影響を受けるユーザーの3分の1のみがパスワードを変更します

人々のパスワードを保存する方法はいくつかありますが、セキュリティインシデントの影響で、違反したプロバイダーが使用したパスワードの保存方法を知ることは非常に重要です。資格情報が正しく保存されている場合（つまり、ハッシュされ、堅牢なハッシュアルゴリズムでソルト化されている場合）、資格情報を盗むハッカーは、資格情報を使用してユーザーのアカウントを侵害するのに苦労します。一方、プレーンテキストで保存されている場合、リスクははるかに高くなります。

いずれにせよ、ユーザーは常に十分な注意を払ってパスワードを変更することをお勧めします。 研究カーネギーメロン大学のショーからの研究者は、しかし、そのほとんどの人は単に気にしないでください。

299人が調査に参加することに同意し、違反したサービスの3人に1人のユーザーだけがインシデントについて知った後、パスワードを変更する意思があることを示しました。参加者は、自宅のコンピューターに特別なソフトウェアをインストールし、2017年1月から2018年12月までの期間、閲覧履歴とWebサイトのHTMLフィールドに入力した文字列を記録しました。その期間中にデータ漏えいが発表され、事件を知らされた後にパスワードを変更したのは21人だけでした。

これはユーザーの比較的小さなサブセットであり、このデータのみに基づいて一般的な結論を導くことはおそらく最良のアイデアではないことを言わなければなりません。ただし、特にパスワードの変更を決定したときに人々がどのように行動するかを見ると、数字が気になります。

人々はまだ自分のアカウントに強力でユニークなパスワードを作成することはできません

侵害されたパスワードを変更したユーザーでさえ、急いで変更することはできませんでした。 21人のユーザーのうち、データ侵害の発表から3か月以内にパスワードを交換したのは15人だけでした。これは唯一の問題からはほど遠いです。

ご想像のとおり、この調査では、パスワードの再利用の問題が一時的に浮き彫りになりました。研究者らは、侵害されたドメインでパスワードを変更した21人のユーザーが、同様のパスワードを持つ平均30個のアカウントを持っていると推定しました。そのうちの一部を保護することを決めたのは14人だけで、平均して4つのパスワードだけを変更しました。さらに、新しいパスワードは実際には新しいものではありませんでした。新しく割り当てられたパスワードのほぼ70％は元のパスワードと同じかそれよりも弱く、それらのほとんどは古いパスワードから派生したものです。

誰が悪いのか？

状況が必ずしも理想的ではないことは明らかです。人々は、侵害されたパスワードに関連するリスクを理解していません。どうやら、彼らはどのように危険なクレデンシャルスタッフィング攻撃が起こり得るかを知りません、そして彼らは何十もの異なるアカウントに同じパスワードを使用することに何の問題も見つけていないようです。

データ侵害が発生したときにサービスプロバイダーを非難するのと同じ方法でユーザーを非難するのは簡単ですが、実際のところ、人々は危険にさらされた状態で継続的に使用することで自分がどの程度のリスクを負っているかを知るだけの十分な教育を受けていません。または弱いパスワード。サービスプロバイダーは、ユーザーが何を扱っているかをユーザーに通知する必要があります。違反が発生した場合、潜在的な結果について可能な限り透明性を保つ必要があります。

多くの人々は、パスワードの問題を解決する唯一の方法はそれを完全に取り除き、それを置き換える新しい認証メカニズムを見つけることであろうと考えていますが、これを達成するまでにはまだ長い道のりがあることは明らかです。そのすべての欠点については、今のところ、パスワードに行き詰まっているので、最大限に活用する方法を見つける必要があります。