最近的一项调查发现,三分之二的用户仍然在每个账户中共享相同的密码,尽管他们担心密码安全,或者只是稍微变形。考虑到人们平均至少有50个在线账户,密码重用真的很有趣。
密码安全公司LastPass调查发现,问题不仅在于用户本身,还在于用户所在的公司。自新冠肺炎疫情爆发以来,企业已转向远程办公室。7%的员工远程工作,在线服务利用率屡创新高。但只有35%的公司要求员工加快密码更新频率或采用多因素身份验证,或采用其他强身份验证方法。
LogMeIn旗下LastPass公司高级经理Katie Petrillo数据显示,知识和教育可能不足以说服用户或其公司使用更好的密码程序。
“我们发现,风险的存在本质上并不能促进人们采取更好的安全措施。个人和公司都需要关注自己的网络安全,因为工作场所的变化和在线时间的延长。”
软件公司、设备制造商和一些用户的安全情况正逐渐转好,但攻击者也顺势而变,在过去十年间纷纷转向盗取凭证并以之访问远程服务和云服务。例如,2019年末,企业技术提供商Citrix它为凭证攻击的猎物,攻击者直接进入公司网络。2020年,互联网基础设施公司阿卡迈发现了1900多亿虚假凭证攻击尝试。
上周,微软安全、合规和身份公司副总裁Vasu Jakkal在博客文章中写道:“然而,密码是一件非常方便的事情,用户的选择往往达不到他们理想的安全。20%的人宁愿“全部回复”不愿重置密码的电子邮件。”
她写道:“密码是攻击的主要目标,但多年来,密码一直是我们数字生活中最重要的安全层,从电子邮件到银行账户,从购物车到视频游戏。用户经常被要求创建复杂和独特的密码,记住它们并定期更改,但没有人愿意这样做。”
LastPass这项调查证实,用户和公司仍然存在密码问题。该公司调查了来自美国、英国、澳大利亚、新加坡、德国、印度和法国的3750名专业人士,询问他们自己及其公司的密码使用情况。
虽然三分之二以上的受访者(68%)会为财务账户和大约一半的电子邮件账户创建更强的密码,但只有三分之一以上的人会为工作相关账户创建更强的密码。此外,去年45%的受访者没有更改密码,即使在数据泄露后。大约83%的受访者不知道他们的信息是否泄露在黑暗的网络上。
在过去的一年半里,疫情期间的远程办公浪潮和继续远程办公的动力对企业产生了重要影响。疫情期间,十分之三的受访者至少有一部分时间是远程办公,几乎比例的受访者在网上花费了更多的时间。
此外,大多数人在疫情期间扩大了在线足迹。超过90%的受访者今年至少创建了一个新的在线账户,半数受访者的在线账户数量增加了50%。
LastPass高级经理Petrillo称:“公司和个人需要将所有凭证视为易受攻击。你可能认为健身房或生日信息等个人凭证不值得黑客关注,但如果这些凭证与你的银行信息相同,数据泄露可能会导致你的财务信息暴露。”
然而,这项调查并非完全没有好消息:超过四分之三的受访者(76%)使用多因素身份验证手段来验证他们的工作或个人账户,比去年增加了10个百分点。
相关研究
其他公司的调查研究也有类似的发现。上周发布的调查报告中,身份验证提供商思科Duo实验室发现,72%的人为了安全目的经常使用双因素身份验证方法,这限制了被盗凭证的破坏性。今年5月,电子邮件安全公司Agari研究结果显示,攻击者经常在几个小时内验证密码并将其用于攻击。
那么,重复使用密码最常见的原因是什么呢?LastPass调查发现,重用密码最常见的原因包括:不想忘记密码(68%),想保留自己密码的控制权(52%),觉得自己的账户不值得加强安全性(36%)。