美国卡内基梅隆大学安全与隐私研究所曾经实施了一项安全研究,发现在数据泄露公告发布之后,通常只有大约三分之一的用户会更改密码。
研究小组从200余名参与者的家用计算机中收集和抽取了相关的数据信息,其中有63个在被入侵的网站上拥有帐户。而在63位用户中,只有21位访问了受到入侵的站点并更改了密码。而在这21位用户中,只有15位用户在数据泄露公告发布后的三个月内更改了密码。该研究也表明用户在更改密码的时候,还会重用其先前密码中的字符序列,或存储在其浏览器中的其他帐户相似的密码,进而来创建强度较弱或相似的密码。
对此研究,昆明亭长朗然科技有限公司网络安全文化专员董志军表示:尽管该研究规模较小,而且是限定在美国,但是该研究基于实际的浏览数据和流量,可以说非常准确的,而且也足以表明事态之严重。作为专业的信息安全意识宣教企业,我们经常帮助客户宣传推广安全意识,告知用户们要定期更改密码,并且在怀疑密码泄露时立即更改,同时不要重复使用过往的密码。然而从上述安全研究看,用户仍然缺乏选择唯一密码以及在必要时更改密码所需的安全意识教育。这种情况会给网络不法分子实施“撞库”攻击带来很大的成功机会,进而引爆大量有针对性的定向网络钓鱼攻击,以及针对企业级用户的高级可持续性威胁入侵。
为了帮助客户加强对用户的密码安全意识教育,我司制作了大量的安全宣教素材,如下分享一张防范“撞库”攻击的宣传图片。如果您有兴趣,在保留我司LOGO及字号的情况下,可以免费在组织机构的内部使用。需要印刷品使用的也欢迎联系我们,以免费或者以付费的方式获取高清版PSD源文件。
