En ny undersøgelse blev offentliggjort af forskere fra Carnegie Mellon Universitets Security and Privacy Institute og blev præsenteret på IEEE's 2020 Workshop om teknologi og forbrugerbeskyttelse.
Undersøgelsen er dystert nyt for it-sikkerhedsfolk.
Det vigtigste resultat i rapporten er, at kun omkring en tredjedel af brugerne vil ændre deres adgangskoder efter en virksomhed annoncerer et brud på datasikkerheden. Disse oplysninger var ikke baseret på undersøgelses svar, men baseret på indsamlede browser historik fra de 249 deltagere, der meldte sig frivilligt til at åbne deres browser historie med henblik på at støtte forskningen.
Browserhistorikdataene blev indsamlet mellem januar 2017 og december 2018 og omfattede både et komplet kort over alle de websteder, hver deltager besøgte i løbet af den tid, og de adgangskoder, der blev brugt af hver bruger til at få adgang til websteder, der krævede et login.
I løbet af undersøgelsen havde kun 63 deltagere konti på domæner, hvorfra bruger data var lækket, i dataindsamlingsperioden, og af disse ændrede kun 21 (33 procent) deres adgangskoder. Værre, 6 af de 21 tog længere tid end 3 måneder om at gøre det.
Hvis det ikke var nedslående nok, ændrede de fleste af dem til adgangskoder som var meget lig deres gamle kodeord. De var så ens at simple brute-force teknikker ville være succesfulde i at give en hacker adgang til de pågældende konti, selv efter at kodeordet var blevet ændret.
Det skal bemærkes, at denne undersøgelse var ret lille og begrænset i omfang, så yderligere undersøgelser bør gennemføres for at se, om tendensen holder op over tid. Men det giver et værdifuldt, og bekymrende data punkt, der bør give it-fagfolk stof til eftertanke.
Uddannelse er den bedste måde at bekæmpe dette, men kun få virksomheder bruger den tid og de ressourcer, der er nødvendige for virkelig at formidle alvoren af konsekvenserne af et brud på datasikkerheden. Desuden er budskabet simpelthen ikke kommet rigtigt frem til brugerne. Det er uheldigt, og det kan få tragiske konsekvenser, både på det personlige plan og for virksomhederne.
