意识到位但行为跟不上?仍有超一半的人选择依靠记忆力管理密码
近日,密码管理工具提供商Bitwarden在公布了其最新一期全球密码管理调查的结果。结果显示,虽然人们意识到安全的重要性,但在保护自己数据的密码管理习惯方面仍有很大的提升空间,换句话说就是——做得不够好。
调查结果显示,有31%的美国受访者表示在过去18个月中自己曾经历过数据泄露,而在全球范围,这一数据是23%。另有数据显示,81%的人一天多次登录网站或应用程序,这可能有助于解释为什么67%的受访者会认为密码的安全性相比容易记忆更加重要,对比全球范围的调查数据(68%),这一比例是非常接近的,此外,98%的美国受访者认为他们“非常”或“有点”熟悉能够让密码更安全的方法。
从上面这组数据我们可以看到一个非常乐观的结果,那就是大多数人都意识到密码的安全性是非常重要的,但可惜的是,在实际应用的过程中,却显示出一种非常矛盾的景象。
1、85%的受访者在多个网站上重复使用密码,这个数字与全球其他地区相当(84%)。
2、有55%的受访者表示仍然习惯于用记忆的方式管理密码,32%的受访者会用笔记录在本子上,30%的受访者则会使用密码管理工具来帮助管理自己的密码,另外还有23%的人表示会在电脑上用一个文档记录自己所有的密码,更有20%的人会选择用发送电子邮件留存档的方式保存密码。
3、60%的受访者所使用的密码平均长度为9-15个字符(一般而言,14个字符被认为是一个安全的起点)
4、双因素认证(2FA)的应用已经全面铺开,在调查中,有79%的美国受访者将2FA用于工作账户,77%将其用于个人账户。在涉及全球范围的这一数据上也都超过了七成,分别是73%(工作)和78%(个人)。
尽管有充分的证据证明地缘政治动荡和远程办公导致组织的攻击面进一步增加,但密码管理器仍未能够在工作环境中真正普及。
调查数据显示,只有32%的受访者被要求在工作时使用密码管理器,而在全球范围内,这一数字更低——25%以下。但我们也能看到,尽管没有要求,但大多数受访者(68%)认为,组织应该为其员工在工作时提供密码管理器,以保护他们所拥有的与组织相关的电子凭证。
密码管理最佳实践的重要性在于让人们了解密码。人们目前能够意识到密码安全的重要性,这只是非常关键的第一步。但如果通过利用密码管理器等工具更好地保护自己,相比人的记忆,密码管理器至少可以帮助用户避免在多个网站、平台使用相同的密码,或者因为记不住而去不断地重置密码。
事实上,尽管安全会增加了一些操作的复杂性,但有时候为了保证安全难免如此,比如2FA甚至MFA的使用,但同时也的确可以考虑通过工具的引入来将一些复杂的操作简化掉。因为在对抗的另一边,攻击者总是在寻找你的安全框架中最薄弱的环节,所以除非你在所有系统中严格执行长密码和2FA,否则你仍然容易受到基于密码的攻击。
与此同时,企业用户也应注意到密码的重要性,尤其是大多数员工都已经意识到自己的工作用账户因为各种原因导致密码强度不够的情况下,一方面要提高员工与密码安全意识相关的培训,另一方面也应通过技术手段或引入安全工具的方式来保障企业自身的安全,至少在减少在密码层面会暴露出的攻击面。