Две трети пользователей не меняют свои пароли даже после взлома данных
Пользователи часто высказывают свое недовольство после взлома данных, и вы можете утверждать, что это вполне понятно. В конце концов, подписавшись на услугу, вы доверяете провайдеру свои данные, и когда они не защищены должным образом, вы имеете полное право расстраиваться. Оказывается, однако, что, хотя многие люди готовы подключиться к социальным сетям, чтобы выразить свой гнев против компании, которая пострадала от нарушения, не все они готовы предпринять простые шаги, чтобы защитить себя.
Table of Contents
Только треть пользователей, пострадавших от взлома данных, меняют свои пароли
Существует несколько способов хранения паролей пользователей, и после инцидента с безопасностью очень важно узнать, какой метод хранения паролей использовал взломанный провайдер. Если учетные данные хранятся правильно (т. Е. Хешируются и обрабатываются с помощью надежного алгоритма хеширования), то хакерам, которые их украдут, будет трудно использовать их для взлома учетных записей людей. Если, с другой стороны, они сохраняются в виде открытого текста, риски намного выше.
В любом случае, пользователям всегда рекомендуется сменить свои пароли, соблюдая осторожность. Однако исследование, проведенное учеными из Университета Карнеги-Мелон, показывает, что большинство людей просто не беспокоятся.
Двести сорок девять человек согласились принять участие в опросе, который показал, что только один из трех пользователей нарушенной службы желает сменить пароль после того, как узнает об инциденте. Участники имели специальное программное обеспечение на своих домашних компьютерах, которое записывало историю их посещений и строки, которые они вводили в поля HTML веб-сайтов за период с января 2017 года по декабрь 2018 года. Шестьдесят три пользователя имели учетные записи на веб-сайтах и в приложениях девяти крупнейших в течение этого периода было объявлено о нарушении данных, и только 21 из них изменили свои пароли после того, как им стало известно об инциденте.
Надо сказать, что это относительно небольшая группа пользователей, и делать общие выводы на основе одних только этих данных, вероятно, не лучшая идея. Однако цифры вызывают беспокойство, особенно когда вы видите, как люди ведут себя, когда решают сменить пароль.
Люди до сих пор не могут создать надежные уникальные пароли для своих учетных записей
Даже те, кто изменил свои скомпрометированные пароли, не спешили это делать. Из 21 пользователя только 15 поменяли свои пароли в течение трех месяцев после объявления о нарушении данных. Это далеко не единственная проблема.
Как вы уже догадались, опрос в очередной раз выявил проблему повторного использования пароля. Исследователи подсчитали, что 21 пользователь, который изменил свои пароли в взломанном домене, имел в среднем 30 аккаунтов с похожими паролями. Только 14 человек решили защитить некоторых из них, и в среднем они изменили только четыре дополнительных пароля. Более того, новые пароли не были действительно новыми. Почти 70% вновь назначенных паролей были такими же сильными или слабыми, как и исходные, и большинство из них были получены из старых.
Кто виноват?
Довольно ясно, что ситуация не совсем идеальная. Люди не понимают рисков, связанных с взломанными паролями. По-видимому, они также не знают, насколько опасными могут быть атаки с использованием учетных данных, и, похоже, они не находят ничего плохого в использовании одних и тех же паролей для десятков разных учетных записей.
Было бы легко обвинять пользователей точно так же, как они обвиняют поставщиков услуг в случаях взлома данных, но правда в том, что люди просто недостаточно образованы, чтобы знать, какой риск они ставят перед собой из-за их постоянного использования скомпрометированных или слабые пароли. Поставщики услуг должны информировать пользователей о том, с чем они имеют дело, и когда нарушение действительно происходит, они должны быть максимально прозрачными о возможных последствиях.
Многие считают, что единственным способом решения проблемы с паролем было бы полностью разобраться с ним и найти новый механизм аутентификации, чтобы заменить его, но ясно, что до этого еще далеко. Несмотря на все его недостатки, на данный момент мы застряли с паролем, и мы должны найти способ использовать его в меру наших преимуществ.
