研究人員發(fā)現(xiàn)了用戶和IT從業(yè)人員的安全習慣以及安全工具和用戶偏好之間的差距。

網(wǎng)絡(luò)安全專業(yè)人員以及他們所服務(wù)的員工和消費者都從事危險的安全實踐。數(shù)據(jù)顯示，密碼問題繼續(xù)困擾著所有經(jīng)驗水平的用戶，兩因素身份驗證的采用滯后，移動設(shè)備帶來了新的挑戰(zhàn)。

對于由Ponemon Institute進行并受Yubico委托的第二份“密碼和身份驗證安全行為狀態(tài)報告”，研究人員對2,507位IT安全從業(yè)人員和563位個人用戶進行了調(diào)查。除了學習網(wǎng)絡(luò)安全專業(yè)人員的習慣外，他們還想了解專業(yè)人員與員工和客戶的習慣相比。

Ponemon Institute的聯(lián)合創(chuàng)始人兼首席執(zhí)行官Larry Ponemon說：“我們希望IT和IT安全領(lǐng)域的人們更加安全。”“在大多數(shù)情況下，兩組之間的相似之處遠大于差異。”

但是，這兩組之間存在一些差異。當被問及對安全和隱私問題的關(guān)注增加時，安全專家指出他們對政府監(jiān)視的關(guān)注度更高(61%)，以及對移動設(shè)備(53%)和已連接設(shè)備(41%)的更多使用。消費者表示，他們最擔心與第三方(57%)共享其個人數(shù)據(jù)，尤其是醫(yī)療記錄，其次是移動設(shè)備(46%)和已連接設(shè)備(43%)的共享。

行為數(shù)字更接近。60%的專業(yè)人士表示，他們不使用2FA保護個人帳戶，而沒有使用2FA的消費者則沒有。一半的專業(yè)人士在工作場所帳戶之間重復(fù)使用密碼，而消費者的這一比例為39%。兩組中大約有一半-51%的消費者和49%的專業(yè)人員-有時或經(jīng)常與同事共享密碼。

發(fā)生帳戶接管攻擊后，有76%的消費者表示他們更改了密碼管理或帳戶保護方式。研究人員發(fā)現(xiàn)，只有65%的IT專業(yè)人員做到了這一點。個人最有可能在網(wǎng)絡(luò)攻擊后使用更強的密碼(61%)，更頻繁地更改密碼(52%)，在多個帳戶中使用唯一密碼(36%)或開始使用2FA(35%)。

Yubico首席解決方案官Jerrod Chong說，技術(shù)專業(yè)人員重用密碼并采用不良的安全習慣的趨勢“似乎違反直覺”，但指出了更廣泛的業(yè)務(wù)問題。IT安全專業(yè)人員為組織中的多個團隊服務(wù)。他們可以爭取更強大的安全工具，但是如果長期實行的政策要求使用更強大，更復(fù)雜的密碼，那么對于他們來說，改變企業(yè)領(lǐng)導(dǎo)者和利益相關(guān)者的思維方式將是一場“失敗的戰(zhàn)斗”。

Chong解釋說：“這不僅僅是技術(shù)思維。”“它可以追溯到大型組織的系統(tǒng)和流程，這些系統(tǒng)和流程通過對安全性實踐施加特定的要求，使技術(shù)(交換機)的制造變得更加困難。”他繼續(xù)說，企業(yè)經(jīng)常遵守幾十年前制定的政策，而那些不遵守政策的企業(yè)則無法合規(guī)。IT安全專家經(jīng)常走下去是因為他們不想脫離合規(guī)性，并且不支持更改。

Chong補充說：“ [Change]必須從頂部一直到底部。”“這些數(shù)字使人們關(guān)注了這個技術(shù)和人員問題。”

密碼：難以打破

研究人員發(fā)現(xiàn)，的組織管理和保護密碼的方式使他們處于危險之中。盡管這兩個團體都擔心保護工作場所帳戶，但59%的專業(yè)人士和消費者表示，他們使用人類記憶來管理和保護自己的密碼。另一種流行的方法是即時貼，分別由42%的專業(yè)人員和41%的消費者使用。只有36%的專業(yè)人員和37%的消費者使用瀏覽器擴展程序來自動填充或記住密碼，而使用密碼管理器的人更少。