作为保障我们网络商务活动的重要手段,密码安全性日益下降,究竟是黑客破密技术的提高还是人们管理密码行为的漏洞让黑客有机可乘?
SafeNet在全球做的密码调查分析,尽管其数据未必全面与准确,但其分析结果也许值得我们借鉴与思考。
调查结果综述
50%的被调查者仍将他们的密码记录下来
超过1/3的被调查者与别人共享密码
超过80%的被调查者有3个或更多密码
被调查者使用这些密码访问越来越多的应用程序:67%访问5个或
5个以上,另有31%访问9个或更多
47%的被调查者每年至少重设一次密码
SafeNet近期发布了第二次年度全球密码调查(结果见表),此项调查直接从普通用户了解了密码使用的各方面安全问题,再次印证了安全界最前沿的声音,即仅依赖于密码无法提供足够的安全。因为如果仅靠密码,则无论员工是把密码记录下来,还是因为常常忘记密码而求助于公司内部的服务中心,公司都可能降低工作效率。这还是其次,更严重的是带来的安全问题。
这也是为什么USB令牌、智能卡及其它认证和加密产品与解决方案日益受到人们青睐的原因所在。采用多因素、软硬件方式来进行密码管理与身份认证,已成当今安全之急需。以下对2004年调查结果进行同比分析,并按地理位置展开进一步阐释。
公司密码管理分析
所有被调查的组织中,68%的组织已经在一年前,通过要求更长或更复杂的密码来增强了其安全政策。要求密码在一年之内改变3-4次的公司增加了1个百分点,从2003年的22%上升到了2004年的23%;改变5-6次的也从14%增加了1个百分点到15%;而要求每年对密码改变7次或7次以上的公司则上升了3个百分点,从27%达到了30%。这就说明大部分组织对于与密码相关的安全问题更加敏感。
欧洲的具体数据反映了同样的趋势。法国要求员工每年改变密码5-6次的公司上升了4个百分点,而回答从来未要求改变密码的员工则下降了3个百分点。
德国的变化最大,5%的员工每年必须改变密码7次或7次以上,回答从未要求改变密码的员工也下降了3%。在英国,每年改变密码3-4次的员工上升了3%,改变7次或7次以上者增加了2个百分点,从未要求改变密码的员工也下降了4%。
个人密码行为分析
当被直接问到他们是否曾经与别人共享密码时,所有被调查者的回答反映了走向两个极端的巨大变化,从未与别人共享过密码员工的数量达到了65%;声称由于密码过于复杂而无法记忆,总是将密码记录下来的人员数量达到了10%。
欧洲有一些巨大的变化。德国员工似乎对密码安全问题最敏感。这里的员工在各个方面都有改进。在2003年,有16%的员工将密码记录2-3次,而2004年则下降到了9%。记录一次密码的员工数量减少了2%,而记录密码超过5次的员工数量也下降了2%。同时,又有7%的员工声称他们从未将密码记录下来,比例从2003年的62%上升到了2004年的69%。
当被问到是否由于忘记或错置而重新设置密码时,9%的员工表示他们曾重设过3-4次,另有3%表示重设过5-6次。在2003年,56%的被调查者从未重新设置过密码,而在2004年,这一比例为53%。
越来越多的英国员工忘记了自己的密码或重新设置密码。与2003年相比,2004年内重新设置密码1-6次的员工数量增加了6%,而表示从未重新设置过密码者下降了6%。
安全问题严峻
此项调查说明各个组织仍然面临着严峻的安全问题。
根据统计,在拥有1000名人员的组织,其中有500人会将密码记录下来,并由350人与他人共享密码。47%也就是470名员工每年至少重新设置一次密码。每次重新设置的估计成本按照30-50美元计算,公司最少得支出15,000美元。
