[[427698]]

近期一項(xiàng)調(diào)查發(fā)現(xiàn)，盡管擔(dān)心密碼安全問題，三分之二的用戶仍在各個(gè)賬戶共用同一密碼，或者只是略作變形。考慮到人們平均擁有至少50個(gè)在線賬戶，密碼重用問題著實(shí)引人關(guān)注。

密碼安全公司LastPass執(zhí)行的這項(xiàng)調(diào)查研究發(fā)現(xiàn)，問題不僅僅在于用戶本身，用戶所在公司也存在類似情況。自新冠肺炎疫情肆虐以來，企業(yè)紛紛轉(zhuǎn)向遠(yuǎn)程辦公，十分之七的員工遠(yuǎn)程工作，在線服務(wù)的使用率也屢創(chuàng)新高，但僅35%的公司要求其員工加快密碼更新頻率或采用多因素身份驗(yàn)證，或者使用其他強(qiáng)身份驗(yàn)證方法。

LogMeIn旗下LastPass公司高級(jí)經(jīng)理Katie Petrillo稱，數(shù)據(jù)表明，知識(shí)和教育未必足以說服用戶或其公司采用更好的密碼規(guī)程。

“我們發(fā)現(xiàn)，風(fēng)險(xiǎn)的存在不能從本質(zhì)上推動(dòng)人們采取更好的安全措施。隨著工作場(chǎng)所的變更和在線時(shí)間的延長，個(gè)人和公司都需要重視自身網(wǎng)絡(luò)安全。”

軟件公司、設(shè)備制造商和一些用戶的安全情況正逐漸轉(zhuǎn)好，但攻擊者也順勢(shì)而變，在過去十年間紛紛轉(zhuǎn)向盜取憑證并以之訪問遠(yuǎn)程服務(wù)和云服務(wù)。例如，2019年末，企業(yè)技術(shù)提供商Citrix就淪為了憑證攻擊的獵物，攻擊者在這家公司的網(wǎng)絡(luò)中長驅(qū)直入。2020年，互聯(lián)網(wǎng)基礎(chǔ)設(shè)施公司阿卡邁檢測(cè)到了超過1900億此虛假憑證攻擊嘗試。

上周，微軟安全、合規(guī)與身份公司副總裁Vasu Jakkal在博客文章中寫道：“然而，密碼是個(gè)非常方便的東西，且用戶的選擇往往達(dá)不到他們理想中的安全。20%的人寧愿意“全部回復(fù)”電子郵件，也不愿重置密碼。”

她寫道：“密碼是攻擊的主要目標(biāo)，但多年來，密碼一直是我們數(shù)字化生活中最重要的安全層，從電子郵件到銀行賬戶，從購物車到視頻游戲，都離不開密碼。用戶常被要求創(chuàng)建復(fù)雜且獨(dú)特的密碼，記住這些密碼并定期變更，但沒人愿意這么干。”

LastPass的這項(xiàng)調(diào)查研究證實(shí)了用戶和公司依然存在密碼問題。這家公司調(diào)查了來自美國、英國、澳大利亞、新加坡、德國、印度和法國這七個(gè)國家共3750位專業(yè)人士，詢問他們自身及其所在公司的密碼使用情況。

盡管超過三分之二的受訪者(68%)會(huì)為財(cái)務(wù)賬戶和約半數(shù)電子郵件賬戶創(chuàng)建更強(qiáng)的密碼，但僅略超過三分之一的人會(huì)為工作相關(guān)賬戶創(chuàng)建強(qiáng)密碼。而且，45%的受訪者去年一年都沒改過密碼，即使是在遭遇了數(shù)據(jù)泄露之后。約83%的受訪者不知道自己的信息有沒有泄露到暗網(wǎng)上。

疫情期間的遠(yuǎn)程辦公潮，以及繼續(xù)遠(yuǎn)程辦公的動(dòng)力，已經(jīng)在過去一年半里對(duì)企業(yè)形成了重要影響。十分之三的受訪者在疫情期間至少部分時(shí)間是遠(yuǎn)程辦公，差不多比例的受訪者還在網(wǎng)上花費(fèi)了更多時(shí)間。

此外，大多數(shù)人在疫情期間擴(kuò)張了自己的在線足跡。超過90%的受訪者今年至少創(chuàng)建了一個(gè)新的在線賬戶，半數(shù)受訪者的在線賬戶數(shù)量增加了50%。

LastPass高級(jí)經(jīng)理Petrillo稱：“公司和個(gè)人需要將所有憑證都看作是易遭攻擊的。你可能會(huì)覺得健身房或生日信息等個(gè)人憑證不值得黑客關(guān)注，但如果這些憑證與你的銀行信息相同，一場(chǎng)數(shù)據(jù)泄露就可能導(dǎo)致你的財(cái)務(wù)信息也暴露了。”

不過，這項(xiàng)調(diào)查也不是全然沒有任何好消息：超過四分之三的受訪者(76%)為自己的工作或個(gè)人賬戶采用了多因素身份驗(yàn)證手段，比去年增加了10個(gè)百分點(diǎn)。

相關(guān)研究

其他公司的調(diào)查研究也有類似的發(fā)現(xiàn)。上周發(fā)布的調(diào)查報(bào)告中，身份驗(yàn)證提供商思科Duo實(shí)驗(yàn)室發(fā)現(xiàn)，72%的人常出于安全目的采用雙因素身份驗(yàn)證方法，限制了被盜憑證的破壞性。今年五月，電子郵件安全公司Agari發(fā)布研究結(jié)果，稱攻擊者常會(huì)在數(shù)小時(shí)內(nèi)驗(yàn)證密碼并將之用到攻擊當(dāng)中。

那么，人們重復(fù)使用密碼最常見的原因是什么呢?LastPass的調(diào)查發(fā)現(xiàn)，重用密碼最常見的原因包括：不想搞忘密碼(68%)，想保留自身密碼的控制權(quán)(52%)，以及覺得自己的賬戶不值得強(qiáng)化安全性(36%)。