研究发现，入侵后，用户很少更改密码

卡内基梅隆大学(Carnegie Mellon University)安全与隐私研究所(CyLab)的学者最近发表的一项研究显示，只有大约三分之一的用户通常会在宣布数据泄露后更改密码。

本月早些时候在IEEE 2020技术和消费者保护研讨会上公布的这项研究，不是基于调查数据，而是基于实际的浏览器流量。

学者们分析了在该大学安全行为观察站(SBO)的帮助下收集的真实世界网络流量。SBO是一个自愿加入的研究小组，用户可以注册并分享他们完整的浏览器历史记录，仅用于学术研究。

研究小组的数据集包括从249名参与者的家用电脑收集的信息。这些数据是在2017年1月至2018年12月期间收集的，不仅包括网络流量，还包括用于登录网站并存储在浏览器内的密码。

根据他们对数据的分析，学者们表示，在249名用户中，只有63名用户在被攻破的域名上拥有账户，这些域名在收集间隔期间公开宣布了一起数据泄露事件。

CyLab研究人员表示，在63名用户中，只有21名(33%)访问被攻破的网站更改密码，而在这21名用户中，只有15名用户在数据泄露宣布后的三个月内更改了密码。

>；>；在这些域上总共更改了23个密码。在21名参与者中，有18名是雅虎！用户；剩下的31个雅虎！根据入侵公告，尽管所有用户都受到了入侵的影响，但(49名用户中)没有更改自己的密码。两名参与者更换了他们的Yahoo！密码两次，每次入侵声明后一次。两名参与者在入侵公告发布后一个月内更改了自己在被攻破域名上的密码，两个月内共更改了5次，3个月内更改了8次。

此外，由于SBO数据还捕获了密码数据，CyLab团队还能够分析用户新密码的复杂性。

研究小组表示，在更改密码的用户中(21名)，只有三分之一(9名)根据密码的log10变换强度将其更改为更强的密码。

其余的人创建强度较弱或相似的密码，通常是通过重复使用他们之前密码中的字符序列，或者使用与存储在他们浏览器中的其他账户类似的密码。

研究表明，用户仍然缺乏选择更好或唯一密码所需的教育。研究人员认为，很大一部分责任还在于被黑客入侵的服务，这些服务几乎从来不会告诉人们重新设置他们在其他账户上相似或相同的密码。

尽管与其他研究相比规模较小，但在数据泄露后的用户行为方面，这项研究更准确地反映了真实世界的用户行为，因为它基于实际的浏览数据和流量，而不是有时可能不准确或主观的调查回答。

这项研究名为“人们如何在入侵后更改密码？”，可从此处下载PDF格式。