近期一项调查发现,尽管担心密码安全问题,三分之二的用户仍在各个账户共用同一密码,或者只是略作变形。考虑到人们平均拥有至少50个在线账户,密码重用问题着实引人关注。
密码安全公司LastPass执行的这项调查研究发现,问题不仅仅在于用户本身,用户所在公司也存在类似情况。自新冠肺炎疫情肆虐以来,企业纷纷转向远程办公,十分之七的员工远程工作,在线服务的使用率也屡创新高,但仅35%的公司要求其员工加快密码更新频率或采用多因素身份验证,或者使用其他强身份验证方法。
LogMeIn旗下LastPass公司高级经理Katie Petrillo称,数据表明,知识和教育未必足以说服用户或其公司采用更好的密码规程。
“我们发现,风险的存在不能从本质上推动人们采取更好的安全措施。随着工作场所的变更和在线时间的延长,个人和公司都需要重视自身网络安全。”
软件公司、设备制造商和一些用户的安全情况正逐渐转好,但攻击者也顺势而变,在过去十年间纷纷转向盗取凭证并以之访问远程服务和云服务。例如,2019年末,企业技术提供商Citrix就沦为了凭证攻击的猎物,攻击者在这家公司的网络中长驱直入。2020年,互联网基础设施公司阿卡迈检测到了超过1900亿此虚假凭证攻击尝试。
上周,微软安全、合规与身份公司副总裁Vasu Jakkal在博客文章中写道:“然而,密码是个非常方便的东西,且用户的选择往往达不到他们理想中的安全。20%的人宁愿意“全部回复”电子邮件,也不愿重置密码。”
她写道:“密码是攻击的主要目标,但多年来,密码一直是我们数字化生活中最重要的安全层,从电子邮件到银行账户,从购物车到视频游戏,都离不开密码。用户常被要求创建复杂且独特的密码,记住这些密码并定期变更,但没人愿意这么干。”
LastPass的这项调查研究证实了用户和公司依然存在密码问题。这家公司调查了来自美国、英国、澳大利亚、新加坡、德国、印度和法国这七个国家共3750位专业人士,询问他们自身及其所在公司的密码使用情况。
尽管超过三分之二的受访者(68%)会为财务账户和约半数电子邮件账户创建更强的密码,但仅略超过三分之一的人会为工作相关账户创建强密码。而且,45%的受访者去年一年都没改过密码,即使是在遭遇了数据泄露之后。约83%的受访者不知道自己的信息有没有泄露到暗网上。
疫情期间的远程办公潮,以及继续远程办公的动力,已经在过去一年半里对企业形成了重要影响。十分之三的受访者在疫情期间至少部分时间是远程办公,差不多比例的受访者还在网上花费了更多时间。
此外,大多数人在疫情期间扩张了自己的在线足迹。超过90%的受访者今年至少创建了一个新的在线账户,半数受访者的在线账户数量增加了50%。
LastPass高级经理Petrillo称:“公司和个人需要将所有凭证都看作是易遭攻击的。你可能会觉得健身房或生日信息等个人凭证不值得黑客关注,但如果这些凭证与你的银行信息相同,一场数据泄露就可能导致你的财务信息也暴露了。”
不过,这项调查也不是全然没有任何好消息:超过四分之三的受访者(76%)为自己的工作或个人账户采用了多因素身份验证手段,比去年增加了10个百分点。
相关研究
其他公司的调查研究也有类似的发现。上周发布的调查报告中,身份验证提供商思科Duo实验室发现,72%的人常出于安全目的采用双因素身份验证方法,限制了被盗凭证的破坏性。今年五月,电子邮件安全公司Agari发布研究结果,称攻击者常会在数小时内验证密码并将之用到攻击当中。
那么,人们重复使用密码最常见的原因是什么呢?LastPass的调查发现,重用密码最常见的原因包括:不想搞忘密码(68%),想保留自身密码的控制权(52%),以及觉得自己的账户不值得强化安全性(36%)。
