[[427698]]

近期一項調(diào)查發(fā)現(xiàn)，盡管擔(dān)心密碼安全問題，三分之二的用戶仍在各個賬戶共用同一密碼，或者只是略作變形?？紤]到人們平均擁有至少50個在線賬戶，密碼重用問題著實引人關(guān)注。

密碼安全公司LastPass執(zhí)行的這項調(diào)查研究發(fā)現(xiàn)，問題不僅僅在于用戶本身，用戶所在公司也存在類似情況。自新冠肺炎疫情肆虐以來，企業(yè)紛紛轉(zhuǎn)向遠程辦公，十分之七的員工遠程工作，在線服務(wù)的使用率也屢創(chuàng)新高，但僅35%的公司要求其員工加快密碼更新頻率或采用多因素身份驗證，或者使用其他強身份驗證方法。

LogMeIn旗下LastPass公司高級經(jīng)理Katie Petrillo稱，數(shù)據(jù)表明，知識和教育未必足以說服用戶或其公司采用更好的密碼規(guī)程。

“我們發(fā)現(xiàn)，風(fēng)險的存在不能從本質(zhì)上推動人們采取更好的安全措施。隨著工作場所的變更和在線時間的延長，個人和公司都需要重視自身網(wǎng)絡(luò)安全。”

軟件公司、設(shè)備制造商和一些用戶的安全情況正逐漸轉(zhuǎn)好，但攻擊者也順勢而變，在過去十年間紛紛轉(zhuǎn)向盜取憑證并以之訪問遠程服務(wù)和云服務(wù)。例如，2019年末，企業(yè)技術(shù)提供商Citrix就淪為了憑證攻擊的獵物，攻擊者在這家公司的網(wǎng)絡(luò)中長驅(qū)直入。2020年，互聯(lián)網(wǎng)基礎(chǔ)設(shè)施公司阿卡邁檢測到了超過1900億此虛假憑證攻擊嘗試。

上周，微軟安全、合規(guī)與身份公司副總裁Vasu Jakkal在博客文章中寫道：“然而，密碼是個非常方便的東西，且用戶的選擇往往達不到他們理想中的安全。20%的人寧愿意“全部回復(fù)”電子郵件，也不愿重置密碼。”

她寫道：“密碼是攻擊的主要目標(biāo)，但多年來，密碼一直是我們數(shù)字化生活中最重要的安全層，從電子郵件到銀行賬戶，從購物車到視頻游戲，都離不開密碼。用戶常被要求創(chuàng)建復(fù)雜且獨特的密碼，記住這些密碼并定期變更，但沒人愿意這么干。”

LastPass的這項調(diào)查研究證實了用戶和公司依然存在密碼問題。這家公司調(diào)查了來自美國、英國、澳大利亞、新加坡、德國、印度和法國這七個國家共3750位專業(yè)人士，詢問他們自身及其所在公司的密碼使用情況。

盡管超過三分之二的受訪者(68%)會為財務(wù)賬戶和約半數(shù)電子郵件賬戶創(chuàng)建更強的密碼，但僅略超過三分之一的人會為工作相關(guān)賬戶創(chuàng)建強密碼。而且，45%的受訪者去年一年都沒改過密碼，即使是在遭遇了數(shù)據(jù)泄露之后。約83%的受訪者不知道自己的信息有沒有泄露到暗網(wǎng)上。

疫情期間的遠程辦公潮，以及繼續(xù)遠程辦公的動力，已經(jīng)在過去一年半里對企業(yè)形成了重要影響。十分之三的受訪者在疫情期間至少部分時間是遠程辦公，差不多比例的受訪者還在網(wǎng)上花費了更多時間。

此外，大多數(shù)人在疫情期間擴張了自己的在線足跡。超過90%的受訪者今年至少創(chuàng)建了一個新的在線賬戶，半數(shù)受訪者的在線賬戶數(shù)量增加了50%。

LastPass高級經(jīng)理Petrillo稱：“公司和個人需要將所有憑證都看作是易遭攻擊的。你可能會覺得健身房或生日信息等個人憑證不值得黑客關(guān)注，但如果這些憑證與你的銀行信息相同，一場數(shù)據(jù)泄露就可能導(dǎo)致你的財務(wù)信息也暴露了。”

不過，這項調(diào)查也不是全然沒有任何好消息：超過四分之三的受訪者(76%)為自己的工作或個人賬戶采用了多因素身份驗證手段，比去年增加了10個百分點。

相關(guān)研究

其他公司的調(diào)查研究也有類似的發(fā)現(xiàn)。上周發(fā)布的調(diào)查報告中，身份驗證提供商思科Duo實驗室發(fā)現(xiàn)，72%的人常出于安全目的采用雙因素身份驗證方法，限制了被盜憑證的破壞性。今年五月，電子郵件安全公司Agari發(fā)布研究結(jié)果，稱攻擊者常會在數(shù)小時內(nèi)驗證密碼并將之用到攻擊當(dāng)中。

那么，人們重復(fù)使用密碼最常見的原因是什么呢?LastPass的調(diào)查發(fā)現(xiàn)，重用密碼最常見的原因包括：不想搞忘密碼(68%)，想保留自身密碼的控制權(quán)(52%)，以及覺得自己的賬戶不值得強化安全性(36%)。