密码管理乱象：九成用户靠好记性和烂笔头

经过多年的技术、标准、方法和管理革新后，网络安全最重要和基础的工作——密码管理的现状仍然惨不忍睹。

近日，Bitwarden公司对来自美国、英国、澳大利亚、法国、德国和日本共2400名用户进行了调查，以研究当前用户密码的使用习惯。

调查发现，全球用户普遍缺乏对密码管理安全最佳实践的了解，继续采用高风险的密码管理方法，这导致了大量安全漏洞和数据泄露事件。

调查的重点发现如下：

• 严重依赖记忆(53%)、笔和纸(34%)来管理账户密码。

• 大量重复使用密码。全球范围内有25%的受访者在11-20个以上的账户中大量重复使用密码，

• 使用弱密码和个人信息创建密码。39%的受访者使用弱密码，36%的受访者承认会在社交媒体平台（60%）和网络论坛（30%）等公开渠道使用个人信息创建密码。

• 不安全地存储工作密码(35%)

• 不使用双因素认证（33%）

• 不安全地共享密码（32%）

调查结果表明，当今企业安全操作规范与用户实际行为之间仍然存在巨大差距，弱密码和密码复用等高危行为仍然是企业网络安全、数据安全面临的主要威胁之一。企业亟需提高员工安全意识和培训水平，帮助员工在工作和生活中养成良好网络安全习惯。

调查结果显示，企业员工普遍存在安全认知/信心与实际行为脱节的问题，尽管60%的用户声称他们对识别网络钓鱼攻击充满信心，68%的用户觉得自己能够识别并减轻人工智能辅助的网络攻击，但许多受访者仍然采用高风险的密码管理方式。

54%的受访者依赖记忆管理密码，33%的受访者使用笔和纸来管理家用密码。41%的受访者表示经常或偶尔会在公共网络上访问个人和工作数据，这进一步增加了数据泄露风险。

调查发现，个人在家和工作中的密码使用习惯大体相似。大多数受访者承认他们在工作场所也严重依赖记忆(53%)、笔和纸(34%)来管理账户密码。近一半(48%)的受访者透露他们经常或偶尔会在工作场所的多个平台或账户间重复使用密码。

接受过账号安全方面安全意识培训的用户，其抵御威胁的信心明显更强。报告显示，接受过此类培训的受访者(占全球受访者的48%)中，几乎所有人(94%)都表示对应对这些威胁充满信心。但令人大跌眼镜的是，这些人的行为却南辕北辙，超过三分之一的受访者(37%)承认其工作场所的安全习惯属于“有些风险”或“非常高风险”。

这或许可以解释针对个人的网络攻击频发的现象。19%的全球用户承认由于密码习惯问题曾遭遇过网络攻击或数据丢失，23%的用户确认他们的密码曾被盗取或泄露过。这凸显了用户在安全认知和实际行为上的认知失调。

尽管密码安全仍存在挑战，调查也揭示了一些令人鼓舞的趋势，表明随着安全意识的提升，用户正越来越多地采取负责任的网络安全行为。

全球范围内，51%的在家中使用密码管理器的受访者表示他们在工作中变得更加注重安全，45%的人表示他们重复使用密码的频率降低了。这种影响力延伸至个人层面以外，28%的用户会在工作场所分享密码管理软件带来的益处。

类似地，在工作场所使用密码管理器也对员工的个人生活产生了积极影响。52%的受访者承认使用密码管理器之后，他们在家中的安全意识有所提高，重复使用密码的频率也降低了(41%)。

采用双因素认证(2FA)的趋势正在上升，全球80%的受访者将其用于大多数个人账户或某些重要账户，66%的受访者将其用于大多数工作账户或仅用于重要账户。

由于网络钓鱼攻击的增加，全球范围内的人们普遍认识到双因素认证作为第二层安全防护的重要性。57%的受访者表示他们开始使用双因素认证来增强安全防护，网络攻击者针对员工凭证的攻击也日益频繁。65%的受访者采取了一些改进措施或加强了安全保障以提升安全态势，表明他们在个人和职业环境中遵循最佳网络安全实践的决心。

调查显示，45%的全球受访者采用了无密码身份认证，而且超过一半(52%)的受访者了解并认可无密码身份认证的安全优势，这预示着“无密码时代”即将到来。

但是，尽管无密码身份认证采用率有所上升，人们仍然对其隐私和安全的问题存在担忧，主要有以下几点：

• 数据滥用(31%)

• 监控不确定性(31%)

• 未经授权访问(31%)

• 安全存储（29%）

报告指出，透明的沟通和强有力的安全保障对增强用户信心并促进无密码身份认证普及至关重要。

如果企业采用无密码身份认证，62%的受访者表示他们对公司安全弹性的信任会提高；66%的受访者表示，如果公司实施无密码身份认证，他们本人也更倾向于使用无密码身份认证。

值得注意的是，大多数受访者并不认为我们会真的进入“无密码时代”：51%的受访者预测无密码身份认证和密码会并存，只有17%的受访者预测无密码身份认证会消灭密码。

最后，近一半(44%)的受访者认为网络安全业界需要加大力度教育公众了解无密码身份认证技术的优势。

要实现真正的密码安全，行业、政府和用户需要共同努力，加强安全教育和意识推广，鼓励用户采用更安全的密码管理方法，并促进无密码身份认证技术的普及。同时，企业也应承担起更多的责任，为用户提供安全可靠的产品和服务。

以下是GoUpSec安全意识专家给出的增强密码安全的建议：

• 使用强密码并定期更改。

• 不要把密码写在纸上，也不要与任何人共享密码。

• 不要在多个账户中重复使用密码。

• 不要再密码中包含个人以及配偶亲戚的个人信息，或者字典单词。

• 工作密码和生活游戏类密码区分设置。

• 使用密码管理器来帮助管理密码。

• 在所有帐户上启用双因素认证。