המשתמש הממוצע לא דואג לפרטיותו כלל, או זה לפחות הרושם שנוצר ממחקר חדש שהוצג לפני כשבועיים בסדנה לטכנולוגיה והגנת צרכנים של המכון למהנדסי חשמל.
התוצאות היו מאכזבות מאוד: החוקרים אספו את נתוני הגלישה של המשתתפים במשך שנתיים שלמות – מינואר 2017 עד דצמבר 2018; במהלך השנתיים הללו קיבלו 63 מהמשתתפים הודעות על כך ששירותים שהיו רשומים אליהם נפרצו וסיסמאותיהם כנראה נחשפו. מתוך 63 המשתמשים הללו, רק 21 – כלומר, שליש – טרחו לשנות את הסיסמאות באותם שירותים.
גם אלה שטרחו לשנות סיסמאות עשו זאת לרוב לאט מדי: רק 2 משתתפים החליפו סיסמה בטווח של חודש לאחר ההודעה על הפריצה, עוד 5 עשו זאת בחודש השני ועוד 8 בחודש השלישי. אם לוקחים בחשבון שרוב הסיסמאות שנפרצו – 51 סיסמאות של 49 משתמשים – היו באתר יאהו (yahoo!), שלקח לו חודשים רבים לדווח על הפריצה, ניתן להסיק שבזמן שלקח למשתמשים להחליף אותן כבר היה להאקרים די והותר זמן לפענח אותן, לפרוץ לתיבות המייל ולנצל אותן כדי לפרוץ לכל שירות אחר שאותם משתמשים היו רשומים אליהם.
נתון מאכזב נוסף קשור לשימוש חוזר בסיסמאות: לפי החוקרים, לכל אחד מהמשתמשים שנפרצו היו בממוצע כ-30 סיסמאות שחלקו לפחות את מחצית מהתווים בהן עם אלו שנחשדו כפרוצות. רק 14 מהמשתמשים טרחו לשנות סיסמאות דומות או זהות בחודש שלאחר שינוי הסיסמא לאתר שנפרץ, ובממוצע החליפו רק 4 מתוך ה-30. מעבר לכך, קצת יותר ממחצית מהמשתמשים שהחליפו סיסמאות באתרים שכבר נפרצו החליפו אותן לסיסמאות אחרות שחלקו לפחות את מחצית מהתווים עם סיסמאות אחרות שהיו שמורות בדפדפנים שלהם.
שלושת החוקרים – מאוניברסיטאות קרנגי-מלון ואוניברסיטת אינדיאנה בבלומינגטון – הציגו נתונים המבוססים לא על סקר, כפי שנפוץ היום, אלא על מחקר. אמנם, המחקר כלל 249 משתתפים בלבד – דגימה קטנה מאוד – אך שיטת המחקר, במסגרתה התנדבו המשתתפים לשלוח את נתוני הגלישה שלהם לחוקרים במקום לענות על שאלות לגבי הרגלי הגלישה, הופכת את המחקר הזה לאמין יותר מכל סקר שהוא.
לאור הנתונים הללו, לא מיותר להזכיר כמה כללים בסיסיים בשימוש בסיסמאות:
- אסור להשתמש באותה סיסמה בכמה אתרים.
- מייד עם ההודעה על פריצה לשירות אליו אתם רשומים – יש להחליף את הסיסמה שלו, לכזו שאינה משמשת לאף שירות אחר.
- אם בכל זאת אותה סיסמה שימשה ליותר משירות אחד – בכל פעם שהיא נמצאת במאגר פרוץ אחד, יש להחליף אותה גם בכל שאר האתרים המשתמשים בה.
- יש לבחור סיסמאות באורך 8 תווים ומעלה, רצוי כאלו הכוללות אותיות גדולות וקטנות לצד ספרות ואף סימנים מיוחדים.
יש את השירותי חרטא שאליהם יש לי סמסא דומה, ויש את השירוותים הקריטיים שאליהם הססמא שונה לגמרי בכל שירות.
90% מהחשבונות זה חשבונות שוואלה מה זה לא איכפת לי אם פורצים אליהם…