相信你总会看到这样的新闻:又有大规模的数据泄露了、又有多少用户的信息被窃取了……随之而来的,是各种安全专家的重复建议:大家该上点心了,是时候换密码了,使用安全强度高一点的密码行不行。但实际上,又有多少人真正在意过专家的话,而不是一意孤行的继续使用自己的“旧”密码呢?
就在最近,信息安全专家发起了一项有意思的调查,采样的范围包括美欧亚的网络用户。他们试图分析用户这种行为背后的心理因素:为什么他们明明知道自己的密码存在很大的安全隐患,还是不愿意换。在得出结论之后,他们认为现在人们上网的习惯行为和他们对网络安全的认知存在着一定程度上失调。
数据中存在的密码悖论(KlS&AqDoG)
在调查中显示,绝大多数受访者都理解他们的行为给自己带来的风险,但没有表达出任何想要去改变的意思。
只有5%的受访者是真的不知道一个安全的密码需要包括的元素,剩下的绝大多数人都知道安全的密码应该同时包括大、小写字母,数字和特殊符号。
此外,有91%的受访者知道重复使用密码会带来一定的风险,但其中61%的人依旧多次使用相同或者类似的密码,其中又有超过一半(55%)的受访人在完全知道密码泄露后果的情况下,还在继续使用相同的密码。
性格可能决定你被黑的命运
每个用户在网上的行为虽然不是纯粹的性格导向,但分析了性格之后倒是可能解释用户在设置密码时的一些不良习惯。
根据受访者的个性和他们上网行为的关系进行分析,将受访者的个性分为了A、B两类。
近一半受访者可以被认为是A类型,这种个性也可以被称为控制型。这类人在生活中很有条理,有自己管理和记忆密码的方式,他们认为自己的密码很安全,并不觉得自己在各个平台重复使用相同的密码会带来高风险。
还有超过一半的受访者则是B类型。与A类恰好相反的是,B类个性的人是真的担心密码被泄露。更有意思的是,这类人都很想得开,在担心了一下之后可以很快的说服自己:“我的账户对黑客来说应该没有什么价值,然后继续悠闲的使用原来的密码”。
虽然不能完全用个性来解释用户设置密码时的不良习惯,但也确实能从中洞察到一些用户这么做的原因。
用户在设密码时到底在想什么?
绝大多数人在创建密码时都缺乏安全意识。调查显示:47%的受访者在密码中使用了自己的姓氏或姓名缩写;42%的密码包含具有特殊意义的日期或数字;还有26%的用了家里宠物的名字。要知道,以上所有的信息都可以在你的社交媒体或某个熟人的口中轻易获得。
只有29%的用户是考虑到安全的原因才去更换密码的。绝大多数人更换密码的原因简单明了——他们忘记了之前的密码。
用户对密码安全性的重视度:银行账户等财务相关(69%)>网购(43%)>社交媒体(31%)>娱乐(20%)。
把这些不同类型的账户放在一起比较可能会有点违背常理,但是据身份盗用资源中心( Identity Theft Resource Center )的报告能说明,在2016年被黑的超过657家公司中,只有21家是金融机构。如果密码在各类账户间重复使用的话,那么一旦有黑客入侵了一些安全性较低的账户,就会对其他的重要账户造成严重的威胁,像是用户的储蓄或信用卡账户等。
“不论用户的年龄、性别和个性,设置密码的不良习惯是一个普遍而长期存在的问题。”
所以要不要来点设置密码的教学?
【本文为51CTO专栏“柯力士信息安全”原创稿件,转载请联系原作者(微信号:JW-assoc)】