Исследователи из Университета Карнеги-Меллона подсчитали, что только треть пользователей меняют свои пароли после компрометации данных. Интересно, что этот доклад, представленный в рамках воркшопа IEEE 2020 по технологиям и защите потребителей, основывается не на данных опросов, а на фактическом трафике браузеров.
Эксперты изучили реальный трафик, собранный с помощью университетской Security Behavior Observatory, исследовательской группы, в которую пользователи добровольно вступают и делятся полной историей браузера с целью проведения академических исследований. Так, данные для этого анализа были собраны с домашних компьютеров 249 участников эксперимента за период с января 2017 года по декабрь 2018 года. Информация включала не только веб-трафик, но также пароли, сохраненные в браузере.
Как выяснилось, из 249 пользователей только 63 имели учетные записи на различных взломанных доменах (учитывались только те компании, которые публично объявили о взломе и утечке данных).
Из этих 63 пользователей только 21 человек (33%) посетил взломанные сайты, чтобы изменить пароль, а из этих 21 только 15 пользователей сменили пароли в течение трех месяцев после объявления о компрометации.
В общей сложности на указанных выше доменах было изменено 23 пароля. Так, среди сменивших пароли участников эксперимента было только 18 пользователей Yahoo!; еще 31 пользователь Yahoo! (из 49 в общей сложности) не меняли свои пароли, хотя все пострадали в результате утечки данных. Еще 2 пользователя сменили свои пароли от Yahoo! дважды, по одному разу после каждого сообщения о компрометации. 2 пользователя сменили свои пароли на взломанном домене в течение одного месяца после объявления о взломе, 5 человек поменяли пароли по истечении двух месяцев и 8 человек спустя три месяца.
Так как, помимо прочего, исследователи собирали данные о паролях участников эксперимента, команда смогла проанализировать и сложность их новых паролей. Среди пользователей, которые изменили пароли (суммарно 21 человек), только треть (9 человек) сменила их на более надежные. Остальные члены контрольной группы придумали более слабые пароли или пароли аналогичной силы. Обычно новые пароли создавались либо путем повторного использования последовательностей символов из предыдущего пароля, либо люди попросту изменял пароль на другой, но уже использующийся для других учетных записей и тоже хранившийся в браузере.
Исследователи утверждают, что большая часть вины за происходящее лежит на самих взломанных сервисах, поскольку те «почти никогда не объясняют людям, что еще нужно сбрасывать похожие и идентичные пароли для других учетных записей».