世界密码日又要到了,人们可能会认为,入侵和黑客攻击的急剧增加,将促使我们所有人对密码处理方式的改变。但是,最近的研究、报告和新闻报道显示,在数百万人如何看待密码创建与他们的在线安全之间的关系方面,惊人地缺乏进展。两项不同的研究表明,密码的状况令人担忧。总部位于伦敦的网络安全公司Clario的一项调查显示,美国千禧一代是最不遵守安全密码的人,他们在多达50个不同的账户上使用相同的密码。网络安全公司ID Agent的创始人凯文•兰卡斯特(Kevin Lancaster)的另一份报告在“黑暗网络”(Dark Web)上搜索了20亿个密码,收集了在该网站上交易的最常见密码。参见:给远程工作者和管理者的100条建议(免费PDF)(TechRepublic)
兰卡斯特发现,数以百万计的人仍然在使用他们最喜欢的歌曲、运动队或超级英雄作为密码,所有这些都很容易被网络罪犯发现,他们会对一个人的社交媒体资料进行常规搜索。
兰开斯特在一次采访中说:“尽管每天都有各种关于网络攻击的新闻,以及网络攻击的破坏性有多大的噪音,我们仍然看到人们日复一日地用密码做一些非常愚蠢的事情。”“有时候这会让你想把头撞到墙上。一方面,它会让你抓狂,十年后我们还在讨论这个问题,但另一方面,它很容易理解,这真的很难解决。我们仍然看到人们使用他们熟悉的东西,因为它很容易记住。”
兰卡斯特说,数十亿人不得不在工作、教育和娱乐中使用的数字平台的爆炸式增长,已经迫使人们陷入了一种无法维持的境地,他们觉得自己别无选择,只能重复使用几十个账户的密码。
尽管人们知道他们需要为每个账户设置复杂、独特的密码,但他们也没有时间或脑力去为自己的每个账户设置不同的密码。在他对被黑网泄露的密码的研究中,他发现许多人仍然在使用非常基本的密码,以及与他们喜爱的事物相关的各种信息。像“rolltide”、“yankees”、“redsox”、“mickey”、“superman”和“batman”这样的密码虽然简单,却非常受欢迎。
有些人甚至把他们最喜欢的运动的名字,如“足球”或“棒球”作为密码,而其他人则用乐队和歌曲的名字,如“blink182”、“披头士”和“8675309”。兰卡斯特指出,在我们与数十个社交媒体网站高度共享的环境中,有关个人兴趣的所有信息都可以相当容易地找到,这使得网络罪犯很容易猜测密码和密码变体。
除了在社交媒体网站上分享信息外,还有专门收集随机用户信息的网站,让黑客更容易找到他们需要进入你的账户的信息。“利用别人,开始猜测密码,并把它们放在自动脚本机上,试图找到漏洞,是非常容易的,尤其是如果你有一个地址或已知的同事。”如果你知道他们是洋基队的铁杆球迷,他们的孩子或宠物叫什么名字,或者他们的亲戚是谁,这相对容易做到,”兰卡斯特说。“黑客攻击谷歌的人。”在他的研究中,兰卡斯特对他在TOR或Dark Web上找到的数十亿个密码进行了分类,他说,这些密码包括各种各样的东西,从小型牙科诊所的小型证书转储文件,到他们的CRM系统或Zoom、LinkedIn和Dropbox等主要平台。
在对数据进行规范化和清理以删除可能被丢弃两次的数据之后,他开始寻找模式。他将所有使用“password”或“123”作为密码的默认密码和账户删除,以便关注最常用的密码创建趋势。
但即便如此,公众也可能过于信任政府了。就在上个月,一个组织公布了据报道属于世界卫生组织、美国国立卫生研究院(National Institutes of Health)、盖茨基金会(Gates Foundation)和其他抗击大流行的组织的2.5万多个电子邮件地址和密码,引起了广泛的愤怒。虽然很多人是至关重要的努力抗击病毒的蔓延,澳大利亚网络安全专家罗伯特·波特告诉,挖掘大量数据后,他发现48人“密码”作为他们的密码而数十人利用他们的名字或“changeme”密码。撇开这些不谈,兰开斯特研究了人们通常使用的密码类型,发现名字、体育协会和动画角色越来越普遍。这种趋势不仅出现在美国。在世界各地和几乎每种语言中,人们都陷入了使用非常容易猜到的密码的类似陷阱。兰卡斯特说,虽然密码使用方面的数据令人担忧,但有迹象表明,人们只在他们认为不重要的网站上使用糟糕的密码。“你确实看到证据表明,人们明白,对于一些网站来说,可能存在更大的风险。因此,对于他们的银行,他们可能不太倾向于使用一个人的名字,一个1和一个感叹号。但在那些可能是一次性的网站上,他们仍然使用名、姓和组合。”“这一切都是关于教育人们什么是利用以及为什么应该谨慎。通过确保在应用程序上启用双因素身份验证或使用密码管理器创建分层方法,可以消除很多此类问题。”
参见:密码管理策略(TechRepublic Premium)
然而,人们低估了在多个网站上使用相同密码的危险性。Clario对2000名美国人进行的研究发现,超过四分之三的千禧一代在10多种设备、应用程序和账户上使用同一个密码,有些人甚至承认使用同一个密码超过50次。
Clario首席执行官阿伦•贝克(Alun Baker)表示,应用程序和智能手机通常都包含大量个人数据,如果一家公司出了差错,就有可能被访问。“看看去年被攻破的公司——uber、Facebook、Booking等等……几乎每一个千禧一代都在使用这些应用。如果一个人的密码被泄露,网络犯罪分子将可以立即访问多达20个受害者的账户/应用程序,”贝克说。“密码不仅仅是密码,它们是我们数字生活的关键。使用多因素身份验证、安全的密码管理器、VPN和更新数据泄露是保护自己免受黑客攻击的好方法。”