ΑρχικήsecurityΛίγοι μόνο χρήστες αλλάζουν passwords μετά από παραβίαση δεδομένων!

Λίγοι μόνο χρήστες αλλάζουν passwords μετά από παραβίαση δεδομένων!

passwords

Μια μελέτη από το Carnegie Mellon University’s Security and Privacy Institute (CyLab) έδειξε ότι μετά την ανακοίνωση μιας παραβίασης δεδομένων, μόνο το ένα τρίτο των χρηστών, που έχουν επηρεαστεί, αλλάζουν τα passwords τους.

Η μελέτη, που παρουσιάστηκε νωρίτερα αυτό το μήνα στο IEEE 2020 Workshop, δεν βασίστηκε σε δεδομένα έρευνας, αλλά σε πραγματικό browser traffic.

Οι ακαδημαϊκοί ανέλυσαν το πραγματικό web traffic, που συλλέχθηκε με τη βοήθεια του Security Behavior Observatory (SBO) του πανεπιστημίου, μιας ερευνητικής ομάδας, όπου οι χρήστες εγγράφονται και μοιράζονται το πλήρες ιστορικό του browser τους για να ενισχύσουν την ακαδημαϊκή έρευνα.

Το σύνολο δεδομένων περιελάμβανε πληροφορίες που συλλέχθηκαν από τους οικιακούς υπολογιστές 249 συμμετεχόντων. Τα δεδομένα συλλέχθηκαν μεταξύ Ιανουαρίου 2017 και Δεκεμβρίου 2018. Περιελάμβαναν το web traffic αλλά και passwords που χρησιμοποιούνταν για τη σύνδεση σε sites και ήταν αποθηκευμένα στον browser.

Οι ακαδημαϊκοί ανακάλυψαν ότι από τους 249 χρήστες, οι 63 είχαν λογαριασμούς σε domains που είχαν παραβιαστεί και είχαν ανακοινώσει δημόσια την παραβίαση δεδομένων, κατά τη διάρκεια της έρευνας.

Οι ερευνητές του CyLab δήλωσαν ότι από τους 63 χρήστες, μόνο 21 (33%) επισκέφθηκαν τα παραβιασμένα sites για να αλλάξουν τα passwords τους, και από αυτούς τους 21, μόνο 15 χρήστες άλλαξαν κωδικό μέσα στους τρεις πρώτους μήνες μετά την ανακοίνωση της παραβίασης δεδομένων.

Συνολικά, άλλαξαν μόνο 23 passwords στα παραβιασμένα domains. Από τους 21 συμμετέχοντες, οι 18 ήταν Yahoo! χρήστες. Οι υπόλοιποι Yahoo! χρήστες δεν άλλαξαν τα passwords του, παρόλο που όλοι επηρεάστηκαν από την παραβίαση δεδομένων. Δύο συμμετέχοντες άλλαξαν τους Yahoo! κωδικούς τους δύο φορές, μετά την ανακοίνωση παραβίασης. Δύο συμμετέχοντες άλλαξαν τον κωδικό πρόσβασής τους στο παραβιασμένο domain μέσα στον πρώτο μήνα μετά την ανακοίνωση παραβίασης, πέντε μέσα στους δύο μήνες και οι υπόλοιποι οκτώ μέσα στους τρεις μήνες.

παραβίαση δεδομένων

Οι ερευνητές μπόρεσαν, επίσης, να αναλύσουν την πολυπλοκότητα των νέων passwords που επέλεξαν οι χρήστες.

Η ερευνητική ομάδα διαπίστωσε ότι από τους 21 χρήστες που άλλαξαν passwords, μόνο οι 9 επέλεξαν έναν πιο ισχυρό κωδικό (με κατάλληλο μέγεθος, χαρακτήρες κλπ).

Οι υπόλοιποι δημιούργησαν κωδικούς πρόσβασης με χαμηλότερη ή παρόμοια ισχύ, επαναχρησιμοποιώντας ακολουθίες χαρακτήρων που είχαν και στον προηγούμενο κωδικό πρόσβασης ή χρησιμοποιώντας passwords που ήταν παρόμοια με αυτά άλλων λογαριασμών, που είχαν αποθηκευτεί στον browser.

Η μελέτη δείχνει ότι οι περισσότεροι χρήστες εξακολουθούν να μην έχουν τις γνώσεις που απαιτούνται για την επιλογή μοναδικών και πιο ισχυρών κωδικών πρόσβασης. Οι ερευνητές υποστηρίζουν ότι μεγάλο μέρος της ευθύνης ανήκει στις παραβιασμένες υπηρεσίες-εταιρείες, οι οποίες “σχεδόν ποτέ δεν λένε στους ανθρώπους να αλλάξουν passwords και στους άλλους λογαριασμούς τους”.

Η μελέτη δεν περιελάμβανε πάρα πολλούς συμμετέχοντες (όπως άλλες), όμως είναι πιο ακριβής όσον αφορά τη συμπεριφορά των χρηστών μετά από παραβίαση δεδομένων, καθώς βασίζεται σε πραγματικά δεδομένα περιήγησης και όχι σε απαντήσεις που μπορεί να είναι ανακριβείς.

Η μελέτη ονομάζεται “(How) Do People Change Their Passwords After a Breach?” και μπορείτε να τη διαβάσετε εδώ.

Digital Fortress
Digital Fortresshttps://www.secnews.gr
Pursue Your Dreams & Live!

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS