卡耐基梅隆大学安全与隐私研究所(CyLab)的学者最近发表的一项研究显示，只有大约三分之一的用户会在数据泄露声明后更改密码。

这项研究于本月早些时候在IEEE 2020技术和消费者保护研讨会上发表，它不是基于调查数据，而是基于实际的浏览器流量。

学者们分析了在大学安全行为观察站(SBO)的帮助下收集的真实世界的网络流量，SBO是一个选择加入的研究小组，用户在这里注册并分享他们的完整的浏览器历史，唯一的目的是学术研究。

研究小组的数据集包括从249名参与者的家用电脑中收集的信息。这些数据收集于2017年1月至2018年12月之间，不仅包括网络流量、登录网站和存储在浏览器中的密码。

根据他们对数据的分析，学者们表示，在249名用户中，只有63名用户的账户在数据收集期间公开宣布数据泄露。

CyLab的研究人员说，在63名用户中，只有21名(33%)访问了被入侵的网站并更改了密码，其中只有15名用户在数据泄露事件宣布后的三个月内更改了密码。

>>>这些域名总共更改了23个密码。21个参与者中，有18个是雅虎!用户;剩下的31个雅虎!根据泄露声明，49名用户没有更改密码，尽管他们都受到了泄露事件的影响。两个参与者改变了他们的雅虎!两次输入密码，每次泄露声明后输入一次。在被攻破域名的公告发布后一个月内，有两名用户更改了密码，两个月内共有五名用户更改了密码，三个月内共有八名用户更改了密码。

此外，由于SBO数据也捕获了密码数据，所以CyLab团队还能够分析用户新密码的复杂性。

研究小组称，在更改了密码的用户中(21名)，只有三分之一(9名)根据密码的log10转换强度(log10-transform strength)将密码更改为更强的密码。

其余的用户创建的密码强度较低或类似，通常是通过重用以前密码中的字符序列，或使用与浏览器中存储的其他账户类似的密码。

研究表明，用户仍然缺乏选择更好或唯一密码所需的教育。研究人员认为，很多指责也来自被黑客攻击的服务，它们“几乎从不告诉人们在其他账户上重设相似或相同的密码。”

与其他研究相比，这项研究的规模较小，但在数据泄露后的用户行为方面，它更准确地代表了真实世界的用户行为，因为它基于实际的浏览数据和流量，而不是有时不准确或主观的调查反馈。