Um estudo recente feito na Universidade de Carnegie Mellon, pelo CyLab (Instituto de Segurança e Privacidade), explicou que apenas um terço dos usuários costumam trocar suas senhas ao sofrerem de vazamentos.

A pesquisa, apresentada na IEEE 2020 Workshop sobre Tecnologia e Defesa do Consumidor, foi baseada em dados colhidos por estudantes e envolvia históricos de navegador e senhas de todas as contas dos usuários.

Os dados foram analisados pelo Observatório de Comportamento e Segurança (SBO), e utilizou dado de 249 participantes, dentre janeiro de 2017 a dezembro de 2018.

Desses participantes, 63 tiveram suas contas expostas na internet (você pode verificar se seu e-mail teve senhas vazadas em have i been pwned).

Porém, desses 63, apenas 33% dos usuários (21 contas) tiveram suas senhas trocadas nestes sites, e apenas 15 desses usuários trocaram a senha dentro de 3 meses de anúncio dos vazamentos em massa.

No total, 23 senhas foram alteradas nesses domínios. Dos 21 participantes, 18 eram do Yahoo!; os 31 usuários restantes do Yahoo! (de 49) não alteraram suas senhas, embora todos tenham sido afetados pelo vazamento, de acordo com o anúncio da violação.

Dois participantes mudaram suas senhas Yahoo! duas vezes, uma vez após cada anúncio de violação. Dois participantes alteraram sua senha no domínio violado dentro de um mês após o anúncio da violação, um total de cinco em dois meses e oito em três meses.

changed-password.png
Fonte: Bhagavatula et al.

A maioria dos usuários que mudaram de senha escolheram uma mais fraca

Além disso, como os dados da SBO também capturaram dados de senha, a equipe do CyLab também foi capaz de analisar a complexidade das novas senhas dos usuários.

A equipe de pesquisa disse que, dos usuários que alteraram senhas (21), apenas um terço (9) a alterou para uma senha mais forte, com base na força log10-transformed da senha.

O restante criou senhas de força mais fraca ou semelhante, geralmente reutilizando sequências de caracteres da senha anterior ou usando senhas semelhantes a outras contas armazenadas no navegador.

O estudo mostra que os usuários ainda não possuem a educação necessária para escolher senhas melhores ou exclusivas. Os pesquisadores argumentam que grande parte da culpa também reside nos serviços invadidos, que “quase nunca dizem às pessoas para redefinir suas senhas semelhantes – ou idênticas – em outras contas”.

O estudo, embora pequeno em escala em comparação com outros, é mais preciso na representação das práticas do usuário no mundo real quando se trata de comportamento do usuário após uma violação de dados, pois é baseado em dados e tráfego reais de navegação, em vez de respostas de pesquisas que às vezes são imprecisas ou subjetivas.