Дослідники з університету Карнегі-Меллон (англ. Carnegie Mellon University, CMU) підрахували, що лише третина користувачів змінюють свої паролі після компрометації даних. Доповідь була представлена в рамках воркшопу IEEE 2020, присвяченого технологіям та захисту споживачів. Вона ґрунтується не на даних опитувань, а на фактичному трафіку браузерів.
Експерти вивчили реальний трафік, зібраний за допомогою університетської Security Behavior Observatory дослідницької групи, в яку користувачі добровільно вступають і діляться повною історією браузера з метою проведення академічних досліджень. Так, дані для цього аналізу були зібрані з домашніх комп'ютерів 249 учасників експерименту за період з січня 2017 року по грудень 2018 року. Інформація включала не тільки веб-трафік, але також паролі, збережені в браузері.
Як з'ясувалося, з 249 користувачів тільки 63 мали облікові записи на різних зламаних доменах (враховувалися тільки ті компанії, які публічно оголосили про злом і витоку даних).
З цих 63 користувачів тільки 21 людина (33%) відвідала зламані сайти, щоб змінити пароль, а з цих 21 тільки 15 користувачів змінили паролі протягом трьох місяців після оголошення про компрометацію.
В цілому на зазначених вище доменах було змінено 23 паролі. Так, серед змінили паролі учасників експерименту було тільки 18 користувачів Yahoo!; ще 31 користувач Yahoo! (З 49 в цілому) не змінювали свої паролі, хоча все постраждали в результаті витоку даних. Ще 2 користувачі змінили свої паролі від Yahoo! двічі, по одному разу після кожного повідомлення про компрометацію. 2 користувача змінили свої паролі на зламаному домені протягом одного місяця після оголошення про злом, 5 осіб поміняли паролі після закінчення двох місяців і 8 чоловік через три місяці.
Оскільки, крім іншого, дослідники збирали дані про паролі учасників експерименту, команда змогла проаналізувати і складність їх нових паролів. Серед користувачів, які змінили паролі (сумарно 21 осіб), лише третина (9 осіб) змінила їх на більш надійні. Решта членів контрольної групи придумали більш слабкі паролі або паролі аналогічної сили. Зазвичай нові паролі створювалися або шляхом повторного використання послідовностей символів з попереднього пароля, або люди просто змінював пароль на інший, але вже використовується для інших облікових записів і теж зберігався в браузері.
Дослідники стверджують, що велика частина провини за те, що відбувається лежить на самих зламаних сервісах, оскільки ті «майже ніколи не пояснюють людям, що ще потрібно скидати схожі і ідентичні паролі для інших облікових записів».
