卡內基美隆大學旗下CyLab,在追蹤249名受試者在2017~2018年間的網路使用行為後,發現有63人使用的網路服務遭駭,但只有21人在收到官方通知後確實變更密碼,其中有18人為Yahoo.com用戶,他們因為2018年Yahoo用戶密碼外流事件而變更密碼。情境示意圖,Photo by on bryan...on https://www.flickr.com/photos/bryansjs/24608082171 (CC BY-SA 2.0)

一項研究顯示,即使知道自己常上的網站發生駭客入侵,但只有1/3的人會變更密碼,其中又只有不到一半的人,會改用強度更高的密碼來提高防護。

卡內基美隆大學旗下安全與隱私研究所(CyLab),所推動的安全行為展望台(Security Behavior Observatory, SBO)專案,研究使用者在網站被駭後,是否會變更帳號。研究人員蒐集249名用戶從2017年1月到2018年12月的電腦使用資訊,包括網頁密碼、密碼強度及網頁URL並加以分析。

研究顯示,在249名參與者中,63人在研究期間發生一次網域被駭事件,其中以Yahoo.com占最大宗,其次是健康飲食管理網站myfintnesspal、線上圖庫imgur.com及尋找祖先的ancestry.com。其中只有21人在業者公布被駭公告後變更密碼,只有15人會在3個月內完成。21人中,有18人為Yahoo.com用戶,他們因為網站發生重大資料外洩(即2018年Yahoo有10億用戶密碼外流)變更密碼,但仍然有31人不為所動。

研究人員還分析使用者新選的密碼。249名受試者變更的新密碼中,70%強度和舊密碼類似,甚至更低。若只看網站被駭的63人,研究人員發現21個變更被駭網站密碼的人中,僅不到一半(9個)改用強度較強的密碼,平均新密碼強度是舊密碼的1.3倍,其餘則使用強度類似,甚至更弱的密碼。此外,這21個人中,會在一個網站入侵後一個月,還會去修改其他網站類似密碼者有14人,但平均僅修改4個,不到所有平均帳號數量的1/8(30個)。

總體而言,本研究顯示網站密碼外洩的通知已經失效,無法促使使用者採取行動,或有效的行動。因此研究人員建議主管機關,應要求網站提高資料外洩通知強度,像是在用戶採取行動前不斷重送通知,此外也應要求廠商在發生網站被駭後,應強制重設密碼,教導使用者如何設定強密碼。

他們也建議主管機關,應鼓勵廠商使用雙因素驗證或密碼以外的驗證方法,並要求他們為密碼進行雜湊或加鹽處理,以防止帳密填充(credential-stuffing)或彩虹表(Rainbow Table)攻擊,取得明文密碼。


Advertisement

更多 iThome相關內容