Två tredjedelar av användare ändrar inte sina lösenord även efter ett dataintrång

Changing Passwords After a Data Breach

Användare är ofta ganska stämma om sin missnöje efter ett dataintrång, och du kan hävda att detta är helt förståeligt. När allt kommer omkring, genom att registrera dig för en tjänst, anför du leverantören dina uppgifter, och när de inte är skyddade så bra som de borde vara, har du all rätt att bli upprörd. Det visar sig dock att många människor är redo att ta till sociala medier för att uttrycka sin ilska mot företaget som drabbats av ett brott, men inte alla är villiga att vidta enkla åtgärder för att skydda sig.

Endast en tredjedel av användare som drabbas av dataintrång ändrar sina lösenord

Det finns mer än några sätt att lagra människors lösenord, och efter en säkerhetshändelse är det mycket viktigt att lära sig vilken lösenordslagringsmetod som den överträdda leverantören har använt. Om referenser lagras korrekt (dvs hashas och saltas med en robust hash-algoritm), kommer hackarna som stjäl dem att ha svårt att använda dem för att kompromissa med folks konton. Om de å andra sidan sparas i klartext är riskerna mycket högre.

Hur som helst, rekommenderas användarna alltid att ändra sina lösenord av en mängd försiktighet. En studie av forskare från Carnegie Melon University visar dock att de flesta helt enkelt inte bryr sig.

Tvåhundra fyrtio-nio personer gick med på att delta i undersökningen, som visade att endast en av tre användare av en överträffad tjänst är villiga att ändra sitt lösenord efter att de fick veta om händelsen. Deltagarna hade speciell mjukvara på sina hemdatorer som spelade in sin surfhistorik och strängarna som de matade in i webbplatsernas HTML-fält för perioden mellan januari 2017 och december 2018. Sextiotre användare hade konton på webbplatserna och applikationerna involverade i de nio största dataöverträdelser som tillkännagavs under den perioden, och endast 21 av dem ändrade lösenord efter att de blev medvetna om händelsen.

Det måste sägas att detta är en relativt liten del av användarna, och att dra allmänna slutsatser baserat på denna information är förmodligen inte den bästa idén. Siffrorna är dock oroande, särskilt när du ser hur människor agerar när de väljer att ändra lösenord.

Folk kan fortfarande inte skapa starka, unika lösenord för sina konton

Även de som ändrade sina komprometterade lösenord hade inte för mycket bråttom att göra det. Av de 21 användarna bytte bara 15 sina lösenord inom tre månader efter meddelandet om dataöverträdelse. Detta är långt ifrån det enda problemet.

Som du kanske gissat, undersökte undersökningen problemet med återanvändning av lösenord för den sjuttonde gången. Forskarna uppskattade att de 21 användarna som ändrade lösenord på den överträdda domänen hade i genomsnitt 30 konton med liknande lösenord. Endast 14 personer beslutade att skydda några av dem också, och i genomsnitt ändrade de bara fyra ytterligare lösenord. Dessutom var de nya lösenorden inte riktigt nya. Mycket nästan 70% av de nyligen tilldelade lösenorden var lika starka eller svagare än de ursprungliga, och de flesta av dem härrör från de gamla.

Vem ska man skylla på?

Det är ganska tydligt att situationen inte är perfekt. Människor förstår inte riskerna med komprometterade lösenord. Uppenbarligen vet de inte hur farliga referensattacker kan vara heller, och de verkar inte hitta något fel med att använda samma lösenord för dussintals olika konton.

Det skulle vara lätt att skylla på användarna på samma sätt som de skyller på tjänsteleverantörerna när ett dataöverträdelse inträffar, men sanningen är att människor bara inte är utbildade tillräckligt för att veta hur mycket risk de sätter sig på med sin kontinuerliga användning av komprometterade eller svaga lösenord. Tjänsteleverantörer måste låta användarna veta vad de har att göra med, och när ett intrång inträffar måste de vara så öppna som möjligt om de potentiella konsekvenserna.

Många anser att det enda sättet att lösa lösenordsproblemet skulle vara att hantera det helt och hitta en ny autentiseringsmekanism för att ersätta det, men det är tydligt att vi fortfarande är långt borta från att uppnå detta. För alla dess nackdelar, för närvarande, har vi fastnat med lösenordet, och vi måste hitta ett sätt att använda det till bästa fördel.

June 8, 2020
Läser in...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.