软件公司Siber Systems的调查证实:密码使用情况真的真的很糟。
就像油水不相溶,密码和用户的矛盾也是难以调和的。问题在于:若想产品和服务用得顺手,对用户而言,就是不用记太多密码。说到“记”,指的可不仅仅是记在用户的脑子里。在键盘下或屏幕上贴张记有密码的便利贴的解决方式简直常见到令人惊心。
而且,无论怎么警告他们用弱密码和用同一个密码应付所有场景的危害,好像都不起作用。用户中有很多人还是会无视警告,把你告诉他们不要做的事情都做个遍。
Siber Systems是密码管理工具 Roboform 的生产商。最近,它针对超过1千名用户(50%来自美国,50%来自英国,全部为非IT人士)做了个调查,发现了用户对于密码和密码使用的一些很有趣的数据:
超过60%的参与者承认他们在职业生涯中曾经忘记过密码或密码被盗过。美国用户(70%)某种程度上比对照组的英国用户(57%)更容易在工作中忘记密码或让密码限于威胁之中。
调查对象中只有一小部分称自己使用业界专家建议的强密码管理措施:包含大小写字母、数字和符号,每个注册网站采用不同的密码,每30-60天更换密码。只有37%的调查对象是用包含了字母和数字的密码。仅仅8%使用能为每个网站自动创建强密码并定期更换的密码管理系统。
65%的被调查者称自己每天使用至少3种设备,几乎3/4(73%)承认自己有时候会允许浏览器记住密码,而76%偶尔会忘了在完成浏览时退出登录。另外,42%的被访者说自己会将密码写下来备忘。这次调查同时揭示了被访者多个网站采用同一密码的情况:74%的被访者每天至少登录6个网站,30%每天登录10个以上。但59%的人说自己使用5个或5个以下的密码,这意味着他们用同一个密码登录不同的网站。
如果你真的需要更多的话,这就是证据:一般而言,用户真的对自己的密码不甚严谨;事实上,在密码管理的各个层面他们都相当马虎。71%的人承认他们每个月都会忘记1个或多个密码,其中33%的人会有5分钟时间访问不到工作上的某些资源,57%的人是30分钟,还有10%的人甚至高达30分钟或以上。无论以什么标准来看,忘记密码造成的生产力损失都是巨大的。
73%的用户有时候或总是让浏览器记住他们的密码。在商业环境中,这可是个很不好的主意——除非给用户工作环境添加上保护层。
很多公司都开始测试新的技术来避免密码的使用。比如说,苏格兰皇家银行采用指纹识别来控制客户账户,劳埃德银行集团正在测试使用能侦测心跳“签名”的腕带来认证用户(这套系统看起来有些笨拙)。
但是即使这些新技术中有些确实成功了,密码在很长一段时间里还是会继续应用在各方各面。如果你在培训用户和交给他们提高密码安全性的工具上后知后觉,那你就会承担很大的风险,而且这个风险还会越来越大,因为黑客每天都在增多而且也越来越大胆激进。
那么,生产力损失、差劲的安全、严重的金融风险,这些都是密码管理欠佳的后果。你真的还需要更多理由才会对你的用户和他们的密码做些什么吗?