Dwie trzecie użytkowników nie zmienia hasła nawet po naruszeniu danych
Użytkownicy często mówią głośno o swoim niezadowoleniu po naruszeniu danych i można argumentować, że jest to całkowicie zrozumiałe. W końcu, rejestrując się w usłudze, powierzasz swojemu dostawcy dane, a gdy nie jest ono odpowiednio chronione, masz pełne prawo do zdenerwowania. Okazuje się jednak, że choć wiele osób jest gotowych zabrać się do mediów społecznościowych, aby wyrazić swój gniew na firmę, która ucierpiała w wyniku naruszenia, nie wszyscy są gotowi podjąć proste kroki, aby się chronić.
Table of Contents
Tylko jedna trzecia użytkowników dotkniętych naruszeniami danych zmienia swoje hasła
Istnieje więcej niż kilka sposobów przechowywania haseł ludzi, a po incydencie z bezpieczeństwem bardzo ważne jest, aby dowiedzieć się, jakiej metody przechowywania haseł użył dostawca, którego dotyczy naruszenie. Jeśli dane uwierzytelniające są przechowywane poprawnie (tj. Zaszyfrowane i uzupełnione solidnym algorytmem mieszającym), hakerzy, którzy je ukradną, będą mieli trudności z wykorzystaniem ich do naruszenia bezpieczeństwa kont użytkowników. Jeśli natomiast zostaną zapisane w postaci zwykłego tekstu, ryzyko jest znacznie wyższe.
Niezależnie od przypadku użytkownikom zawsze zaleca się zmianę hasła z zachowaniem ostrożności. Badanie przeprowadzone przez naukowców z Carnegie Melon University pokazuje jednak, że większość ludzi po prostu nie zawraca sobie głowy.
Dwieście czterdzieści dziewięć osób zgodziło się wziąć udział w ankiecie, która wykazała, że tylko co trzeci użytkownik naruszonej usługi jest skłonny zmienić hasło po tym, jak dowie się o incydencie. Uczestnicy mieli na swoich komputerach domowych specjalne oprogramowanie, które rejestrowało historię przeglądania i ciągi znaków, które wprowadzali w polach HTML stron internetowych w okresie od stycznia 2017 r. Do grudnia 2018 r. 63 użytkowników posiadało konta na stronach internetowych i aplikacjach zaangażowanych w dziewięciu największych naruszenia danych ogłoszone w tym okresie, a tylko 21 z nich zmieniło swoje hasła po poinformowaniu o incydencie.
Trzeba powiedzieć, że jest to stosunkowo niewielka część użytkowników, a wyciąganie ogólnych wniosków na podstawie samych tych danych prawdopodobnie nie jest najlepszym pomysłem. Liczby są jednak niepokojące, zwłaszcza gdy widzisz, jak ludzie zachowują się, kiedy decydują się zmienić hasło.
Ludzie nadal nie mogą tworzyć silnych, unikalnych haseł do swoich kont
Nawet ci, którzy zmienili swoje skompromitowane hasła, nie spieszyli się zbytnio. Z 21 użytkowników tylko 15 zamieniło swoje hasła w ciągu trzech miesięcy od ogłoszenia o naruszeniu danych. To nie jest jedyny problem.
Jak zapewne się domyślacie, ankieta wykazała problem ponownego użycia hasła po raz kolejny. Naukowcy oszacowali, że 21 użytkowników, którzy zmienili hasła w domenie, której dotyczy naruszenie, miało średnio 30 kont z podobnymi hasłami. Tylko 14 osób zdecydowało się chronić niektóre z nich i średnio zmieniły tylko cztery dodatkowe hasła. Co więcej, nowe hasła nie były tak naprawdę nowe. Prawie 70% nowo przypisanych haseł było tak samo mocnych lub słabszych niż oryginalne, a większość z nich pochodziła ze starych.
Kogo winić?
Jest całkiem jasne, że sytuacja nie jest idealnie idealna. Ludzie nie rozumieją ryzyka związanego z naruszonymi hasłami. Najwyraźniej nie wiedzą też, jak niebezpieczne mogą być ataki z użyciem poświadczeń i wydaje się, że nie znajdują nic złego w używaniu tych samych haseł dla dziesiątek różnych kont.
Łatwo byłoby obwiniać użytkowników w taki sam sposób, w jaki winią dostawców usług za każdym razem, gdy nastąpi naruszenie danych, ale prawda jest taka, że ludzie po prostu nie są wystarczająco wykształceni, aby wiedzieć, na jakie ryzyko narażają się przy ciągłym korzystaniu z zagrożonych danych lub słabe hasła. Dostawcy usług muszą poinformować użytkowników, z czym mają do czynienia, a gdy dojdzie do naruszenia, muszą być możliwie jak najbardziej transparentni pod względem potencjalnych konsekwencji.
Wiele osób uważa, że jedynym sposobem rozwiązania problemu z hasłem byłoby rozwiązanie go całkowicie i znalezienie nowego mechanizmu uwierzytelniania, który mógłby go zastąpić, ale jasne jest, że wciąż jesteśmy daleko od osiągnięcia tego celu. Pomimo wszystkich jego wad, na razie utknęliśmy w haśle i musimy znaleźć sposób, aby wykorzystać go najlepiej jak potrafimy.
