三分之二的用户即使在数据泄露后也不会更改其密码
在数据泄露后,用户通常会大声疾呼自己不满意,您可以说这是完全可以理解的。毕竟,通过注册服务,您就是在将数据委托给提供者,并且当数据没有得到应有的保护时,您将无所适从。然而,事实证明,尽管许多人准备使用社交媒体表达对遭受破坏的公司的愤怒,但并非所有人都愿意采取简单的步骤来保护自己。
Table of Contents
受数据泄露影响的用户中只有三分之一更改了密码
存储人们密码的方式不只几种,而且在发生安全事件后,了解违规提供者使用哪种密码存储方法非常重要。如果凭据存储正确(即使用健壮的哈希算法对凭据进行哈希处理和加盐处理),那么窃取它们的黑客将很难使用它们来破坏人们的帐户。另一方面,如果将它们以明文形式保存,则风险会更高。
无论如何,总是建议用户出于谨慎考虑而更改其密码。但是,卡耐基梅隆大学的研究人员进行的一项研究表明,大多数人根本不会打扰。
249个人同意参加调查,该调查显示,只有三分之二的服务受到破坏的用户愿意在得知事件后才更改密码。参与者的家用计算机上装有专用软件,该软件可以记录其浏览历史记录以及他们在2017年1月至2018年12月期间在网站的HTML字段中输入的字符串。63个用户在前9个最大的网站和应用程序中拥有帐户在此期间宣布了数据泄露事件,只有21个在得知事件后更改了密码。
必须说,这是一个相对较小的用户子集,仅根据这些数据得出一般结论可能不是最好的主意。但是,数字令人担忧,尤其是当您看到人们决定更改密码时的行为时。
人们仍然无法为其帐户创建强大的唯一密码
即使是那些确实更改了受感染密码的用户,也并不急于这样做。在这21个用户中,只有15个在数据泄露公告发布后的三个月内交换了密码。这远非唯一的问题。
您可能已经猜到了,该调查在无数次强调了密码重用问题。研究人员估计,在被破坏的域上更改密码的21位用户中,平均有30个使用相似密码的帐户。只有14个人决定同时保护其中的一部分,平均而言,他们仅更改了四个附加密码。而且,新密码并不是真正的新密码。新近分配的密码中,有将近70%的密码与原始密码一样强或更弱,并且大多数密码来自旧密码。
谁该怪?
很显然,这种情况并非完全理想。人们不了解与密码泄露有关的风险。显然,他们也不知道凭证填充攻击有多么危险,而且对于数十个不同的帐户使用相同的密码,他们似乎也没有发现任何问题。
当数据泄露发生时,用责备用户的方式来责备用户是很容易的,但事实是,人们没有受过足够的教育就知道继续使用受害计算机会给自己带来多少风险或弱密码。服务提供商必须让用户知道他们正在处理什么,并且当确实发生违规时,他们需要对潜在后果尽可能保持透明。
许多人认为,解决密码问题的唯一方法是彻底解决密码问题,并找到一种新的身份验证机制来代替它,但是很显然,距离实现这一目标还有很长的路要走。尽管有其所有的缺点,但到目前为止,我们仍然使用密码,我们必须找到一种最大限度地利用它的方法。
