三分之二的用戶即使在數據洩露後也不會更改其密碼
在數據洩露後,用戶通常會大聲疾呼自己不滿意,您可以說這是完全可以理解的。畢竟,通過註冊服務,您就是在將數據委託給提供者,並且當數據沒有得到應有的保護時,您將無所適從。然而,事實證明,儘管許多人準備使用社交媒體表達對遭受破壞的公司的憤怒,但並非所有人都願意採取簡單的步驟來保護自己。
Table of Contents
受數據洩露影響的用戶中只有三分之一更改了密碼
存儲人們密碼的方式不只幾種,而且在安全事件發生後,了解違規提供商使用哪種密碼存儲方法非常重要。如果憑據存儲正確(即使用健壯的哈希算法對憑據進行哈希處理和加鹽處理),那麼竊取它們的黑客將很難使用它們來破壞人們的帳戶。另一方面,如果將它們以明文形式保存,則風險會更高。
無論如何,總是建議用戶出於謹慎考慮而更改其密碼。但是,卡耐基梅隆大學的研究人員進行的一項研究表明,大多數人根本不會打擾。
249個人同意參加調查,該調查顯示,只有三分之二的服務受到破壞的用戶願意在得知事件後才更改密碼。參與者的家用計算機上裝有專用軟件,該軟件可以記錄其瀏覽歷史記錄以及他們在2017年1月至2018年12月期間在網站的HTML字段中輸入的字符串。63個用戶在前9個最大的網站和應用程序中擁有帳戶在此期間宣布了數據洩露事件,只有21個在得知事件後更改了密碼。
必須說,這是一個相對較小的用戶子集,僅根據這些數據得出一般結論可能不是最好的主意。但是,數字令人擔憂,尤其是當您看到人們決定更改密碼時的行為時。
人們仍然無法為其帳戶創建強大的唯一密碼
即使是那些確實更改了受感染密碼的用戶,也並不急於這樣做。在這21個用戶中,只有15個在數據洩露公告發布後的三個月內交換了密碼。這遠非唯一的問題。
您可能已經猜到了,該調查在無數次強調了密碼重用問題。研究人員估計,在被破壞的域上更改密碼的21位用戶中,平均有30個使用相似密碼的帳戶。只有14個人決定也保護其中的一部分,平均而言,他們僅更改了四個附加密碼。而且,新密碼並不是真正的新密碼。新近分配的密碼中,有將近70%的密碼與原始密碼一樣強或更弱,並且大多數密碼來自舊密碼。
誰該怪?
很顯然,這種情況並非完全理想。人們不了解與密碼洩露有關的風險。顯然,他們也不知道憑證填充攻擊有多麼危險,而且對於數十個不同的帳戶使用相同的密碼,他們似乎也沒有發現任何問題。
當發生數據洩露時,以責備用戶的方式來責備用戶是很容易的,但事實是,人們沒有受過足夠的教育就知道繼續使用受害設備會給自己帶來多少風險或弱密碼。服務提供商必須讓用戶知道他們正在處理的內容,並且當確實發生違規時,他們需要對潛在後果盡可能保持透明。
許多人認為解決密碼問題的唯一方法就是徹底解決密碼問題,並找到一種新的身份驗證機制來代替它,但是很顯然,距離實現這一目標還有很長的路要走。儘管有它的所有缺點,但目前我們仍停留在密碼上,我們必須找到一種充分利用密碼的方法。
