Después de una violación, los usuarios rara vez cambian sus contraseñas, encuentra un estudio

Solo alrededor de un tercio de los usuarios suelen cambiar sus contraseñas después de un anuncio de violación de datos, según un estudio reciente publicado por académicos del Instituto de Seguridad y Privacidad de la Universidad Carnegie Mellon (CyLab). El estudio, presentado a principios de este mes en el Taller IEEE 2020 sobre Tecnología y Protección del Consumidor, no se basó en datos de encuestas, sino en el tráfico real del navegador. Los académicos analizaron el tráfico web del mundo real recopilado con la ayuda del Observatorio de Comportamiento de Seguridad (SBO) de la universidad, un grupo de investigación opcional en el que los usuarios se registran y comparten el historial completo de su navegador con el único propósito de la investigación académica.
El conjunto de datos del equipo de investigación incluyó información recopilada de las computadoras de 249 participantes. Los datos se recopilaron entre enero de 2017 y diciembre de 2018 e incluyeron no solo el tráfico web, las contraseñas utilizadas para iniciar sesión en sitios web y almacenadas dentro del navegador. Según su análisis de los datos, los académicos dijeron que de los 249 usuarios, solo 63 tenían cuentas en dominios violados que anunciaban públicamente una violación de datos durante el intervalo de recopilación.
Los investigadores de CyLab dijeron que de los 63 usuarios, solo 21 (33%) visitaron los sitios violados para cambiar sus contraseñas, y que de estos 21, solo 15 usuarios cambiaron las contraseñas dentro de los tres meses posteriores al anuncio de violación de datos. >>>>> En total, se cambiaron 23 contraseñas en estos dominios. De los 21 participantes, 18 eran Yahoo! usuarios; los 31 restantes Yahoo! los usuarios (de un total de 49) no cambiaron sus contraseñas, aunque todos se vieron afectados por la violación de acuerdo con el anuncio de violación.
Dos participantes cambiaron su Yahoo! contraseñas dos veces, una vez después de cada anuncio de incumplimiento. Dos participantes cambiaron su contraseña en el dominio violado dentro de un mes del anuncio de violación, un total de cinco dentro de dos meses y ocho dentro de tres meses. Imagen: Bhagavatula et al.
Además, dado que los datos de SBO también capturaron datos de contraseña, el equipo de CyLab también pudo analizar la complejidad de las nuevas contraseñas de los usuarios. El equipo de investigación dijo que de los usuarios que cambiaron las contraseñas (21), solo un tercio (9) la cambió a una contraseña más segura, en función de la fuerza transformada del log10 de la contraseña. El resto creó contraseñas con una fuerza más débil o similar, generalmente al reutilizar secuencias de caracteres de su contraseña anterior, o al usar contraseñas que eran similares a otras cuentas almacenadas dentro de su navegador.
El estudio muestra que los usuarios aún carecen de la educación necesaria para elegir contraseñas mejores o únicas. Los investigadores argumentan que gran parte de la culpa también reside en los servicios pirateados, que "casi nunca le dicen a las personas que restablezcan sus contraseñas similares o idénticas en otras cuentas". Sin embargo, el estudio, si bien es pequeño en comparación con otros, es más preciso al representar las prácticas de los usuarios en el mundo real cuando se trata del comportamiento del usuario después de una violación de datos, ya que se basa en datos de navegación y tráfico reales en lugar de respuestas de encuestas que pueden a veces sea inexacto o subjetivo.
El estudio se llama "(¿Cómo) cambian las personas sus contraseñas después de una violación?" Y está disponible para descargar en formato PDF desde aquí. pags VER GALERÍA COMPLETA.