卡耐基梅隆大学安全与隐私研究所(CyLab)的学者最近发表的一项研究显示,只有大约三分之一的用户会在数据泄露声明后更改密码。
这项研究于本月早些时候在IEEE 2020技术和消费者保护研讨会上发表,它不是基于调查数据,而是基于实际的浏览器流量。
学者们分析了在大学安全行为观察站(SBO)的帮助下收集的真实世界的网络流量,SBO是一个选择加入的研究小组,用户在这里注册并分享他们的完整的浏览器历史,唯一的目的是学术研究。
研究小组的数据集包括从249名参与者的家用电脑中收集的信息。这些数据收集于2017年1月至2018年12月之间,不仅包括网络流量、登录网站和存储在浏览器中的密码。
根据他们对数据的分析,学者们表示,在249名用户中,只有63名用户的账户在数据收集期间公开宣布数据泄露。
CyLab的研究人员说,在63名用户中,只有21名(33%)访问了被入侵的网站并更改了密码,其中只有15名用户在数据泄露事件宣布后的三个月内更改了密码。
>>>这些域名总共更改了23个密码。21个参与者中,有18个是雅虎!用户;剩下的31个雅虎!根据泄露声明,49名用户没有更改密码,尽管他们都受到了泄露事件的影响。两个参与者改变了他们的雅虎!两次输入密码,每次泄露声明后输入一次。在被攻破域名的公告发布后一个月内,有两名用户更改了密码,两个月内共有五名用户更改了密码,三个月内共有八名用户更改了密码。
此外,由于SBO数据也捕获了密码数据,所以CyLab团队还能够分析用户新密码的复杂性。
研究小组称,在更改了密码的用户中(21名),只有三分之一(9名)根据密码的log10转换强度(log10-transform strength)将密码更改为更强的密码。
其余的用户创建的密码强度较低或类似,通常是通过重用以前密码中的字符序列,或使用与浏览器中存储的其他账户类似的密码。
研究表明,用户仍然缺乏选择更好或唯一密码所需的教育。研究人员认为,很多指责也来自被黑客攻击的服务,它们“几乎从不告诉人们在其他账户上重设相似或相同的密码。”
与其他研究相比,这项研究的规模较小,但在数据泄露后的用户行为方面,它更准确地代表了真实世界的用户行为,因为它基于实际的浏览数据和流量,而不是有时不准确或主观的调查反馈。