To-tredjedeler av brukerne endrer ikke passordet sitt selv etter et datainnbrudd
Brukere er ofte ganske spreke om misnøye deres i kjølvannet av et datainnbrudd, og du kan hevde at dette er helt forståelig. Når alt kommer til alt, ved å registrere deg for en tjeneste, overlater du leverandøren til dataene dine, og når de ikke er beskyttet så bra som den skal være, har du all rett til å bli opprørt. Det viser seg imidlertid at mens mange mennesker er klare til å ta til sosiale medier for å uttrykke sin sinne mot selskapet som har fått et brudd, er ikke alle av dem villige til å ta enkle grep for å beskytte seg selv.
Table of Contents
Bare en tredjedel av brukerne som er berørt av datainnbrudd, endrer passord
Det er mer enn noen få måter å lagre folks passord på, og i kjølvannet av en sikkerhetshendelse er det veldig viktig å lære hvilken passordlagringsmetode den overtrådte leverandøren har brukt. Hvis legitimasjonsbeskrivelsen er lagret riktig (dvs. hashet og saltet med en robust hashing-algoritme), vil hackerne som stjeler dem ha vanskelig for å bruke dem til å kompromittere folks kontoer. Hvis de derimot reddes i klartekst, er risikoen mye høyere.
Uansett er brukerne alltid anbefalt å endre passordene sine ut fra en overflod av forsiktighet. En studie av forskere fra Carnegie Melon University viser imidlertid at folk rett og slett ikke gidder.
To hundre førtifem personer gikk med på å delta i undersøkelsen, som viste at bare en av tre brukere av en overtrådt tjeneste er villig til å endre passord etter at de har fått vite om hendelsen. Deltagerne hadde spesiell programvare på sine hjemme-datamaskiner som registrerte nettleserhistorikken og strengene de la inn i nettsteder 'HTML-felt for perioden mellom januar 2017 og desember 2018. Seksti-tre brukere hadde kontoer på nettsteder og applikasjoner involvert i de ni største datainnbrudd kunngjort i løpet av den perioden, og bare 21 av dem endret passord etter at de ble gjort oppmerksom på hendelsen.
Det må sies at dette er et relativt lite undergruppe av brukere, og det å trekke generelle konklusjoner basert på disse dataene er sannsynligvis ikke den beste ideen. Tallene er imidlertid bekymringsfulle, spesielt når du ser hvordan folk oppfører seg når de bestemmer seg for å endre passord.
Folk kan fremdeles ikke lage sterke, unike passord for kontoene sine
Selv de som endret kompromitterte passord, hadde ikke det travelt med å gjøre det. Av de 21 brukerne byttet bare 15 passordene sine innen tre måneder etter kunngjøringen om datainnbrudd. Dette er langt fra det eneste problemet.
Som du kanskje har gjettet, fremhevet undersøkelsen problemet med gjenbruk av passord for den 16. gang. Forskerne estimerte at de 21 brukerne som endret passord på det overtrådte domenet, i gjennomsnitt hadde 30 kontoer med lignende passord. Bare 14 personer bestemte seg for å beskytte noen av dem også, og i gjennomsnitt endret de bare fire ekstra passord. Dessuten var de nye passordene ikke helt nye. Veldig nesten 70% av de nylig tildelte passordene var like sterke eller svakere enn de opprinnelige, og de fleste av dem var avledet fra de gamle.
Hvem har skylden?
Det er ganske tydelig at situasjonen ikke akkurat er ideell. Folk forstår ikke risikoen forbundet med kompromitterte passord. Tilsynelatende vet de heller ikke hvor farlige legitimasjonsstoppangrep kan være, og det ser ut til at de ikke finner noe galt i å bruke de samme passordene for flere titalls forskjellige kontoer.
Det ville være lett å skylde på brukerne på samme måte som de skylder på tjenesteleverandørene når det skjer et datainnbrudd, men sannheten er at folk bare ikke er utdannet nok til å vite hvor stor risiko de setter seg på ved kontinuerlig bruk av kompromitterte eller svake passord. Tjenesteytere må gi brukerne beskjed om hva de har å gjøre med, og når et brudd skjer, må de være så gjennomsiktige som mulig om de potensielle konsekvensene.
Mange regner med at den eneste måten å løse passordproblemet på ville være å håndtere det helt og finne en ny autentiseringsmekanisme for å erstatte det, men det er tydelig at vi fortsatt er langt unna å oppnå dette. For alle dens ulemper, foreløpig, sitter vi fast med passordet, og vi må finne en måte å bruke det til beste fordel.
