Fåtal byter lösenord efter läcka

logo

Av Kaj Johnson

2020-06-10

En undersökning visar att endast en tredjedel byter lösenord efter de har informerats om att det har inträffat ett cyberangrepp mot tjänsten och att det finns en stor risk att deras lösenord har läckt.

Forskarna vid Carnegie Mellon-universitetet undersökte 249 hem-användare om dessa bytte sitt lösenord när de fick besked om att lösenordet hade läckt.

Studien är, trots att den är liten i skala jämfört med andra, mer exakt när det gäller att föreställa användarnas verkliga metoder när det gäller användarbeteende efter ett dataintrång, eftersom det är baserat på faktiska surfningsdata och trafik snarare än enkätsvar som kan ibland vara felaktiga eller subjektiva.

Dessutom, av den tredjedel som bytte lösenord så skapade två tredjedelar av dessa lösenord med svagare eller liknande styrka, vanligtvis genom att återanvända karaktärsekvenser från deras tidigare lösenord, eller genom att använda lösenord som liknade andra konton som lagrades i deras webbläsare.

Liknande resultat har även Google rapporterat 2019.

Google’s säkerhetsstudie avslöjade att 26 % av användarna som fick höra att ett av deras lösenord hade läckt ut i en dataöverträdelse ignorerade meddelanden om att ändra det komprometterade lösenordet.

Även Troy Hunt’s ”HaveIBeenpwned?”

Efter en analys av 6,8 miljoner poster som hade läckt och som fanns på webbplatsen CrashCrate kunde han konstatera:

86% av abonnenterna använde lösenord som redan läckt ut vid dataintrång och som var tillgängliga för angripare i vanlig text.

Ett exempel på hur illa det kan gå

Starbuck’s driver det mest populära betalningssystemet för mobila plånböcker i USA. Deras app kan användas för att betala i kassorna med smartphone och man kan också ställa in den för att fylla på Starbucks-kortet från ett anslutet konto.

Angriparna tog sig in på användarnas bankkonto genom app’ens auto-reload-funktion och därigenom stal stora summor från användarna.

Starbucks hade INTE blivit hackat – stölderna orsakades pga av stulna loginuppgifter från andra webbplatser och att användarna helt enkelt hade använt samma loginuppgifter för Starbucks-app’en.

Tänk alltså på:

  • Använd starka lösenord, helst en lösenordsfras innehållande 3-4 ord
  • Använd inte samma lösenord på flera olika tjänster.
  • Använd ”Tvåfaktor-Autentisiering” (2FA)
  • Byt lösenord om tjänsten har drabbats av intrång!

Du hittar Carnegie Mellon’s rapport här