Wyniki nowych badań wskazują, że tylko jedna trzecia ofiar naruszenia danych zmienia swoje hasła

Ciągłe zamartwianie się i stres nie są dobre dla ciała, umysłu i duszy. Biorąc to pod uwagę, niektórzy ludzie mogą być zbyt zrelaksowani, jeśli chodzi o niewłaściwe rzeczy. Bezpieczeństwo hasłem jest jednym z nich. Nawet w przypadku naruszenia haseł nie wszyscy spieszą się, aby rozwiązać problem. Nie trzeba dodawać, że jeśli ludzie nie zmienią haseł po naruszeniu danych, ich wirtualne bezpieczeństwo może być zagrożone i może być zagrożone na wiele różnych sposobów przez wiele różnych złośliwych stron. Aby dodać zniewagę do obrażeń, wciąż wiele osób ponownie wykorzystuje hasła na różnych platformach, co naraża ich na jeszcze większe ryzyko. Miejmy nadzieję, że gdy skończysz czytać ten raport, przekonamy Cię, że każde hasło musi być niepowtarzalne, a zmiana haseł po naruszeniu danych jest niepodlegająca negocjacjom.

Nie wszystkie ofiary naruszenia bezpieczeństwa danych zmieniają hasła

Naukowcy z Carnegie Mellon University i Indiana University Bloomington przeprowadzili badanie , w którym wzięło udział 249 osób. Sprawdzili, ilu z tych uczestników miało konta w 9 różnych witrynach (yahoo.com, mufitnesspal.com, chegg.com, disqus.com, cashcrate.com, flvs.net, ancestry.com, Imgur.com i deloitte.com ), z których wszystkie doświadczyły naruszeń danych mających wpływ na hasła w latach 2017-2018 . 150 milionów haseł wyciekło podczas naruszenia danych MyFitnessPal tylko w 2018 roku , a Chegg miał do czynienia z trzema naruszeniami danych w ciągu ostatnich trzech lat. Chociaż usługi oferowane przez te platformy cieszą się zaufaniem i korzystają z nich setki milionów ludzi na całym świecie, nawet renomowani dostawcy usług nie zawsze mogą zapobiec naruszeniom danych. W idealnym przypadku naruszenia są wykrywane od razu, a ofiary są o tym ostrzegane, aby można było podjąć odpowiednie środki bezpieczeństwa. Niestety w niektórych przypadkach wykrycie naruszeń zajmuje miesiące, a nawet lata. Czasami dostawcy usług nie zgłaszają naruszeń na czas, mimo że wiedzą o incydentach.

Badanie wykazało, że spośród 63 uczestników, którzy mieli konta w wymienionych serwisach, tylko 21 dokonało zmian. Oznacza to, że dwie trzecie uczestników w ogóle nie zmieniało haseł. Naruszenie danych Yahoo w 2017 r. Jest zdecydowanie najczęściej zgłaszane jako jedno z dziewięciu ze względu na historię firmy z poważnymi naruszeniami danych , a ofiary zostały wezwane do zmiany haseł indywidualnie. Jednak podczas gdy 49 uczestników miało konta Yahoo, tylko 18 z nich zmieniło hasła. To szokujące, ale to doskonale ilustruje, jak nieostrożni są ludzie, jeśli chodzi o bezpieczeństwo hasłem. Jasne, nie wszyscy rozumieją, czym naprawdę jest hasło. W końcu jest to po prostu dowolny ciąg losowych znaków. Ponadto ludzie często zakładają, że nic złego im się nie stanie lub że cyberprzestępcy na pewno nie będą zainteresowani ich kontami. Zaniedbanie, lenistwo i brak wiedzy często prowadzą do złych nawyków związanych z hasłami.

Ludziom nie udaje się zastąpić naruszonych haseł silnymi kombinacjami

Nawet jeśli ludzie szybko zmieniają hasła po naruszeniu danych, nie zawsze postępują zgodnie z wytycznymi dotyczącymi tworzenia silnych haseł. Badacze z Carnegie Mellon University i Indiana University Bloomington sprawdzili hasła, które zmieniło 21 uczestników. Tylko 9 z nich zdołało stworzyć silniejsze kombinacje, a 12 utrzymało swoje hasła na tym samym poziomie lub nawet je osłabiło. 30 haseł było bardzo podobnych do tych, które zostały złamane i musiały zostać zmienione. Badanie ujawniło również, że powszechne jest ponowne wykorzystywanie haseł. W sumie podczas badania zaobserwowano 3041 zmian haseł, a 70% tych zmian nie wpłynęło na poprawę hasła, a nawet osłabiło hasła.

Istnieje kilka hipotetycznych powodów, dla których ludzie nie są bardziej uważni, jeśli chodzi o wprowadzanie zmian. Po pierwsze, mogą nie rozumieć, jak pożądane są hasła wśród cyberprzestępców, więc mogą wybrać hasła o tej samej sile lub słabszych tylko dlatego, że nie sądzą, że ktokolwiek byłby zainteresowany. Po drugie, mogą również nie rozumieć, jak łatwo cyberprzestępcom jest łamanie, odgadywanie i brutalna siła haseł przy użyciu nowej technologii. Wreszcie zmęczenie hasłami to rzecz prawdziwa, a ludzie często nie wiedzą, jak je zmienić lub jakie kombinacje są uważane za mocne. Wynika to z braku podstawowej wiedzy.

Co to jest silne hasło?

Bardziej szczegółowo odpowiedzieliśmy na to pytanie w poprzednich raportach, ale oto podstawowe wymagania silnego hasła:

  • Hasło MUSI mieć co najmniej 12-14 znaków. Im hasło jest dłuższe, tym jest silniejsze, ale musi też spełniać inne wymagania. Jeśli usługa zezwala na użycie tylko ograniczonej liczby znaków (np. Sześciu), powinieneś użyć maksymalnej długości.
  • Kombinacja NIE MOŻE zawierać określonych słów, nazw, lokalizacji, pamiętnych dat ani znaków, które wydają się ukrywać zgadywalne słowa (np. Pa $$ w0rd ).
  • Hasło MUSI zawierać litery (zarówno duże, jak i małe), cyfry i znaki specjalne, jeśli jest to możliwe.
  • Hasło NIE MOŻE być powtarzane i przetwarzane. Chociaż utworzenie jednego silnego hasła dla wszystkich kont może być łatwe, pamiętaj, że jeśli jedno konto zostanie naruszone, wszystkie inne staną się dostępne przy użyciu tego samego hasła! Stosowanie niewielkich modyfikacji tego samego hasła (np. Hasła i hasła 123 ) również nie jest bezpieczne.
  • NIE używaj domyślnych haseł. Jeśli kupujesz nowe oprogramowanie lub sprzęt, zawsze zmieniaj ustawienie domyślne na silną kombinację.

Problem z silnymi hasłami polega na tym, że mogą być trudne do zapamiętania, zwłaszcza jeśli masz dziesięć, dwadzieścia, a może nawet sto haseł do wszystkich kont bankowych, sieci społecznościowych, zakupów, pracy, płatności rachunków, poczty e-mail i innych kont . Jeśli masz super mózg, który jest w stanie z łatwością zapamiętać złożone kombinacje, nic ci nie jest. Jeśli jednak jesteś zwykłym śmiertelnikiem, jak większość z nas, możesz potrzebować pomocy w zarządzaniu wszystkimi złożonymi hasłami, które tworzysz. Tutaj przydaje się zaufany menedżer haseł. Cyclonis Password Manager jest bardzo łatwy w użyciu, może generować hasła dla Ciebie, może pomóc w zmianie haseł po naruszeniu danych, może ułatwić logowanie, a także może zapewnić cenną ochronę. Jeśli jest to ostatni krok w kierunku pełnego zabezpieczenia hasła, nie wahaj się i wypróbuj bezpłatną 30-dniową wersję próbną .

September 1, 2020

Zostaw odpowiedź