使用者资安意识倒退噜！75％会在多个应用系统配置相同密码

在企业的资安防御上，员工若是具备良好的电脑使用习惯，可以减少人为层面产生的资安风险。不过，身份验证管理解决方案业者SailPoint最近推出的市场脉动调查（Market Pulse Survey）中，指出使用者的资安意识大退步，今年每4个人就有3人，在多个系统中设定相同的密码，而在2014年时只有56%的人会这么做。

密码使用习惯不佳的情况，还包含更换密码的频率，以及是否公私不分等等。在这份调查报告里显示，对于公司应用系统上的密码，23%使用者超过半年以上才更换一次，而私人账号的密码更动频率，则有67%受访者低于1年之内更换2次。再者，公司应用系统与私人的账号，也有接近一半的使用者（47%）公私不分，采用了相同的密码。由于在LinkedIn、脸书、推特等社群网站上，许多使用者利用相同的账号与密码，已经成为攻击者用来窃取特定人士账号内容的方法，只要其中的某个网站资料遭到外泄，就可能连带用户其他网站的账号遭受威胁，而上述公务与个人账号共用密码，便会将这样的风险扩及到公司的应用系统。

值得留意的是，从年龄层来看，又以18至25岁的族群密码使用习惯最差，在不同应用系统采取相同密码的做法，约有87%，而有60％使用者在公司与私人账号之间配置了相同的密码，都远比前述的平均值高出许多。这份调查里，也指出15%使用者密码很容易被收买，有心人士只需花费仅不到100美元就能让他们交出密码，但以上述25岁以下的族群来看，比例高出快一倍之多（28%），相较之下，55岁以上的年长者可能比较谨慎，只有4%会这么做。这样的现象，也代表青年族群的资安意识可能较为不足。

而在密码之外，也有24%受访者会与同事分享自己的社会安全编号（Social Security Number）。

使用者对公司IT单位信任不足

除了一般民众保护自己的个人身份的保护意识不够之外，这份报告也突显了使用者对于企业IT部门不甚信任的情形。55％受访者认为IT部门会妨碍自己的工作执行，导致若是遭到攻击，有13%不会立即向公司的IT单位通报，也有49%的受访者会谴责IT部门。

由于员工与IT部门之间存有嫌隙，31%的受访者表示，他们曾经自己额外购买软件安装在公司电脑上，相较于4年只有11％，这种企业无法列管的影子IT现象变得更为严重。

此外，针对于今年5月正式上路的GDPR，63％受访者认为与员工相关，但也有分别18％与11％的人认为，企业遵守GDPR是IT部门与人资部门的事情。再者，虽然GDPR强调企业对于持有的个资保护责任，然而44％受访者却认为，比起自己的个资外泄，他们宁愿客户的资料被骇，而且，相较于前述与同事透露自己的社会安全编号，较多受访者（27％）会分享客户的社会安全编号。