研究人員發(fā)現(xiàn)了用戶和IT從業(yè)人員的安全習(xí)慣以及安全工具和用戶偏好之間的差距。

網(wǎng)絡(luò)安全專(zhuān)業(yè)人員以及他們所服務(wù)的員工和消費(fèi)者都從事危險(xiǎn)的安全實(shí)踐。數(shù)據(jù)顯示，密碼問(wèn)題繼續(xù)困擾著所有經(jīng)驗(yàn)水平的用戶，兩因素身份驗(yàn)證的采用滯后，移動(dòng)設(shè)備帶來(lái)了新的挑戰(zhàn)。

對(duì)于由Ponemon Institute進(jìn)行并受Yubico委托的第二份“密碼和身份驗(yàn)證安全行為狀態(tài)報(bào)告”，研究人員對(duì)2,507位IT安全從業(yè)人員和563位個(gè)人用戶進(jìn)行了調(diào)查。除了學(xué)習(xí)網(wǎng)絡(luò)安全專(zhuān)業(yè)人員的習(xí)慣外，他們還想了解專(zhuān)業(yè)人員與員工和客戶的習(xí)慣相比。

Ponemon Institute的聯(lián)合創(chuàng)始人兼首席執(zhí)行官Larry Ponemon說(shuō)：“我們希望IT和IT安全領(lǐng)域的人們更加安全。”“在大多數(shù)情況下，兩組之間的相似之處遠(yuǎn)大于差異。”

但是，這兩組之間存在一些差異。當(dāng)被問(wèn)及對(duì)安全和隱私問(wèn)題的關(guān)注增加時(shí)，安全專(zhuān)家指出他們對(duì)政府監(jiān)視的關(guān)注度更高(61%)，以及對(duì)移動(dòng)設(shè)備(53%)和已連接設(shè)備(41%)的更多使用。消費(fèi)者表示，他們最擔(dān)心與第三方(57%)共享其個(gè)人數(shù)據(jù)，尤其是醫(yī)療記錄，其次是移動(dòng)設(shè)備(46%)和已連接設(shè)備(43%)的共享。

行為數(shù)字更接近。60%的專(zhuān)業(yè)人士表示，他們不使用2FA保護(hù)個(gè)人帳戶，而沒(méi)有使用2FA的消費(fèi)者則沒(méi)有。一半的專(zhuān)業(yè)人士在工作場(chǎng)所帳戶之間重復(fù)使用密碼，而消費(fèi)者的這一比例為39%。兩組中大約有一半-51%的消費(fèi)者和49%的專(zhuān)業(yè)人員-有時(shí)或經(jīng)常與同事共享密碼。

發(fā)生帳戶接管攻擊后，有76%的消費(fèi)者表示他們更改了密碼管理或帳戶保護(hù)方式。研究人員發(fā)現(xiàn)，只有65%的IT專(zhuān)業(yè)人員做到了這一點(diǎn)。個(gè)人最有可能在網(wǎng)絡(luò)攻擊后使用更強(qiáng)的密碼(61%)，更頻繁地更改密碼(52%)，在多個(gè)帳戶中使用唯一密碼(36%)或開(kāi)始使用2FA(35%)。

Yubico首席解決方案官Jerrod Chong說(shuō)，技術(shù)專(zhuān)業(yè)人員重用密碼并采用不良的安全習(xí)慣的趨勢(shì)“似乎違反直覺(jué)”，但指出了更廣泛的業(yè)務(wù)問(wèn)題。IT安全專(zhuān)業(yè)人員為組織中的多個(gè)團(tuán)隊(duì)服務(wù)。他們可以爭(zhēng)取更強(qiáng)大的安全工具，但是如果長(zhǎng)期實(shí)行的政策要求使用更強(qiáng)大，更復(fù)雜的密碼，那么對(duì)于他們來(lái)說(shuō)，改變企業(yè)領(lǐng)導(dǎo)者和利益相關(guān)者的思維方式將是一場(chǎng)“失敗的戰(zhàn)斗”。

Chong解釋說(shuō)：“這不僅僅是技術(shù)思維。”“它可以追溯到大型組織的系統(tǒng)和流程，這些系統(tǒng)和流程通過(guò)對(duì)安全性實(shí)踐施加特定的要求，使技術(shù)(交換機(jī))的制造變得更加困難。”他繼續(xù)說(shuō)，企業(yè)經(jīng)常遵守幾十年前制定的政策，而那些不遵守政策的企業(yè)則無(wú)法合規(guī)。IT安全專(zhuān)家經(jīng)常走下去是因?yàn)樗麄儾幌朊撾x合規(guī)性，并且不支持更改。

Chong補(bǔ)充說(shuō)：“ [Change]必須從頂部一直到底部。”“這些數(shù)字使人們關(guān)注了這個(gè)技術(shù)和人員問(wèn)題。”

密碼：難以打破

研究人員發(fā)現(xiàn)，的組織管理和保護(hù)密碼的方式使他們處于危險(xiǎn)之中。盡管這兩個(gè)團(tuán)體都擔(dān)心保護(hù)工作場(chǎng)所帳戶，但59%的專(zhuān)業(yè)人士和消費(fèi)者表示，他們使用人類(lèi)記憶來(lái)管理和保護(hù)自己的密碼。另一種流行的方法是即時(shí)貼，分別由42%的專(zhuān)業(yè)人員和41%的消費(fèi)者使用。只有36%的專(zhuān)業(yè)人員和37%的消費(fèi)者使用瀏覽器擴(kuò)展程序來(lái)自動(dòng)填充或記住密碼，而使用密碼管理器的人更少。