“我每年要记住100个棒球统计”用户答复，并坚持以前的做法，“我有50电话号码，12个生日，三个按钮的安全码，两个PIN和我自己的名字需要记住。我怎么可能为我所用的每个网站设置一个不同的密码，即使是It管理员强制我这样做？“

　　当然，最终用户使用重复的密码。他们有更重要的事情要记住。即使你强迫他们改变密码，如果可以，他们也保持相同的密码 - 最多在旧版本密码到期后在密码后面加个1。

　　根据研究员Joseph Bonneau以前的研究预测，密码被重复使用的概率大概只有20%。

　　他发现实际上这个数字是31%到49%，这取决于如何严格的“再利用”的定义。

　　他看着偷来的密码，然后在rootkit.com和gawker.com透露。在456合法的电子邮件地址中有31%在两个网站使用相同的密码。如果你考虑拼写或外观不同的话，这一数字上升到49%。

　　大多数安全专家表示，黑客通常不追求个人的打击，因为一个个的帐户密码破解没有价值。每个帐户的密码有几万或数百万种可能。

　　这说明，即使你破解一个，你最多也就看到其他一两个帐号而已。

　　当他们经常使用用于个人和企业职能的SaaS和云为基础的应用程序时，这个问题就会变得糟糕。你在Salesforce，Amazon，Rackspace和Facebook使用相同的密码。猜猜哪一个会被破解？

　　更容易的是给他们签名的方式，无须为每个内部应用程序或网站记住一个长达20个随机字符的字符串作为安全密码。

　　给他们可以产生一个安全密码的密码管理软件，他们去访问网站时，自动登录。 LastPass，RoboForm和secure Login都有很好的声誉，一个单点登录是不依赖于特定的浏览器，产品基于开放源码的OpenID身份管理规范的，所有这些产品都可以适应需要。

　　原文连接

　　http://www.itworld.com/security/136745/study-end-users-still-biggest-hole-it-security