Výsledky průzkumu, který provedla americká bezpečností společnost CSID, by neměly nikoho příliš překvapit. Stejně jako opakované použití stejného hesla pro více různých účtů, což podstatně ulehčuje práci útočníkům, kteří se zaměřují na krádež uživatelských hesel. 54 procent dotázaných používá 5 nebo méně hesel a 44 procent mění svá hesla alespoň jednou ročně. Nejlaxnější přístup k zabezpečení svých účtů projevují uživatelé mladší 24 let.
Malý počet hesel může z části souviset s tím, že většina uživatelů nemá zaregistrováno více než 6 účtů. Dalším významným důvodem je strach ze zapomenutí příliš složitého nebo často se měnícího hesla. Naprostá většina dotazovaných nepoužívá žádný nástroj na uchovávání hesel, což ještě dále více omezuje složitost hesel a jejich častou obměnu.
Většina hesel má délku 8 až 10 znaků, složitější hesla ovšem mnoho služeb nepodporuje, některým webům a dalším službám vyžadujícím přihlášení postačí dokonce i kratší hesla. Složitost hesel nebyla v tomto průzkumu vyhodnocována. Může tedy jít o běžná slovníková hesla, která bývají při útocích hrubou silou prolomena nejrychleji.
„Mnoho podniků si plně neuvědomuje, nakolik může laxní přístup jejich zákazníků k heslům výrazně ovlivnit zabezpečení,“ konstatoval Adam Tyler, Informační ředitel agentury CSID. „Podle našeho průzkumu se potvrzuje pouze to, co jsme dlouho předpokládali – zákazníci věnují problematice hesel minimální pozornost, často používají jedno heslo vícekrát pro registraci do různých služeb na různých webech a dokonce si ani neuvědomují nebezpečnost svého jednání,“ dodal Tyler.
Výsledkem tohoto přístupu je fakt, že 21 procent dotázaných již zažilo nějaké problémy s neoprávněným průnikem do vlastních účtů. „Z průzkumu jasně vyplývá, že podniky spoléhají na bezpečné chování svých zákazníků. Protože se ale jejich uživatelé základními zásadami zabezpečení neřídí, měly by s touto skutečností počítat a snažit se co nejvíce omezit rizika, která z ní vyplývají,“ vyzval Tyler.
Průzkumu se účastnilo pouze 1200 dospělých obyvatel USA, je ovšem možno předpokládat, že podobných výsledků bychom se dočkali i v případě rozsáhlejšího vzorku na větším území. Průzkum se nezabýval problémem průniku útočníka do počítače a zákazníka a odchytávání všech zadaných hesel. V tomto případě nepomohou ani sebelepší zásady pro složitost a četnost obměn hesla. Proto by všechny důležité služby měly uvažovat o zavedení dvoustupňového ověřování. Tedy kombinace přístupového jména a hesla a dalším bezpečnostním mechanismem, například systémem jednorázových klíčů nebo autorizačních SMS.