研究人员发现了用户和IT从业人员的安全习惯以及安全工具和用户偏好之间的差距。
网络安全专业人员以及他们所服务的员工和消费者都从事危险的安全实践。数据显示,密码问题继续困扰着所有经验水平的用户,两因素身份验证的采用滞后,移动设备带来了新的挑战。
对于由Ponemon Institute进行并受Yubico委托的第二份“密码和身份验证安全行为状态报告”,研究人员对2,507位IT安全从业人员和563位个人用户进行了调查。除了学习网络安全专业人员的习惯外,他们还想了解专业人员与员工和客户的习惯相比。
Ponemon Institute的联合创始人兼首席执行官Larry Ponemon说:“我们希望IT和IT安全领域的人们更加安全。”“在大多数情况下,两组之间的相似之处远大于差异。”
但是,这两组之间存在一些差异。当被问及对安全和隐私问题的关注增加时,安全专家指出他们对政府监视的关注度更高(61%),以及对移动设备(53%)和已连接设备(41%)的更多使用。消费者表示,他们最担心与第三方(57%)共享其个人数据,尤其是医疗记录,其次是移动设备(46%)和已连接设备(43%)的共享。
行为数字更接近。60%的专业人士表示,他们不使用2FA保护个人帐户,而没有使用2FA的消费者则没有。一半的专业人士在工作场所帐户之间重复使用密码,而消费者的这一比例为39%。两组中大约有一半-51%的消费者和49%的专业人员-有时或经常与同事共享密码。
发生帐户接管攻击后,有76%的消费者表示他们更改了密码管理或帐户保护方式。研究人员发现,只有65%的IT专业人员做到了这一点。个人最有可能在网络攻击后使用更强的密码(61%),更频繁地更改密码(52%),在多个帐户中使用唯一密码(36%)或开始使用2FA(35%)。
Yubico首席解决方案官Jerrod Chong说,技术专业人员重用密码并采用不良的安全习惯的趋势“似乎违反直觉”,但指出了更广泛的业务问题。IT安全专业人员为组织中的多个团队服务。他们可以争取更强大的安全工具,但是如果长期实行的政策要求使用更强大,更复杂的密码,那么对于他们来说,改变企业领导者和利益相关者的思维方式将是一场“失败的战斗”。
Chong解释说:“这不仅仅是技术思维。”“它可以追溯到大型组织的系统和流程,这些系统和流程通过对安全性实践施加特定的要求,使技术(交换机)的制造变得更加困难。”他继续说,企业经常遵守几十年前制定的政策,而那些不遵守政策的企业则无法合规。IT安全专家经常走下去是因为他们不想脱离合规性,并且不支持更改。
Chong补充说:“ [Change]必须从顶部一直到底部。”“这些数字使人们关注了这个技术和人员问题。”
密码:难以打破
研究人员发现,的组织管理和保护密码的方式使他们处于危险之中。尽管这两个团体都担心保护工作场所帐户,但59%的专业人士和消费者表示,他们使用人类记忆来管理和保护自己的密码。另一种流行的方法是即时贴,分别由42%的专业人员和41%的消费者使用。只有36%的专业人员和37%的消费者使用浏览器扩展程序来自动填充或记住密码,而使用密码管理器的人更少。