风险与重复：弱密码的责任归谁？

本周的“风险与重复”播客讨论了用户是否应对创建和重复使用弱密码负责，抑或是技术系统本身应受指责。

当弱密码导致数据泄露时，用户与底层技术各自应承担多少责任？这正是信息安全社区两位成员近期讨论的核心问题。安全专家、Have I Been Pwned服务所有者Troy Hunt通过Twitter提问：如果用户创建并在多个服务中重复使用弱密码，导致凭据填充攻击，用户是否应负责？Duo Security咨询CISO总监、资深信息安全专家Wendy Nather回应称，信息安全社区应停止指责用户密码设置不当，而应关注糟糕的技术设计。

Hunt在后续博客文章中主张，当黑客攻击是密码实践不善的结果时，受害者应承担部分责任。但Nather对此表示反对。她在Twitter上写道：“作为技术设计者，我们给了用户糟糕的设计，现在却因结果而羞辱他们，而不是修复问题。”

尽管各方似乎都同意弱密码是主要的安全问题，但关于谁该承担主要责任以及如何解决问题的争论仍在继续。在本期“风险与重复”播客中，SearchSecurity编辑Rob Wright和高级记者Michael Heller深入探讨了Hunt和Nather的对立立场，并就这场辩论提出了自己的看法。