卡内基梅隆大学安全与隐私研究所(CyLab)的学者最近发表的一项研究表明，只有大约三分之一的用户会在数据泄露后更改密码。

这项研究发表在本月早些时候的IEEE 2020技术和消费者保护研讨会上。它不是基于调查数据，而是基于实际的浏览器流量。

学者们分析了在大学安全行为观察站(SBO)的帮助下收集到的真实世界网络流量，SBO是一个选择加入的研究团体，用户注册并分享他们完整的浏览器历史，唯一的目的是进行学术研究。

研究小组的数据集包括从249名参与者的家用电脑上收集的信息。这些数据是从2017年1月至2018年12月收集的，不仅包括网络流量、登录网站和存储在浏览器中的密码。

根据他们的数据分析，学者们表示，在249个用户中，只有63个用户的账户在数据收集过程中公开宣布数据泄露。

CyLab研究人员表示，在63名用户中，只有21人(33%)访问了被黑客入侵的网站并更改了密码，其中只有15人在数据泄露被公布后的三个月内更改了密码。

这些域名总共更改了23个密码。在21名参与者中，有18名是雅虎！用户；剩下的31个雅虎！根据披露声明，49名用户没有更改密码，尽管他们都受到了披露的影响。两个参与者改变了他们的雅虎！输入密码两次，每次披露声明后输入一次。被攻破域名公布后一个月内，2名用户更改了密码，5名用户在两个月内更改了密码，8名用户在三个月内更改了密码。

此外，由于SBO数据还捕获密码数据，CyLab团队还可以分析用户新密码的复杂性。

根据研究小组的数据，在更改密码的用户(21)中，根据密码的log10转换强度，只有三分之一(9)的用户将密码更改为更强的密码。

其他用户创建的密码强度较低或相似，通常是通过重复使用以前密码中的字符序列或使用与浏览器中存储的其他帐户相似的密码。

研究表明，用户仍然缺乏选择更好或唯一密码所需的教育。研究人员认为，许多指控也来自黑客服务，这些服务“几乎从不告诉人们重置其他账户上相似或相同的密码。”

与其他研究相比，本研究的规模较小，但就数据泄露后的用户行为而言，它更准确地代表了真实世界的用户行为，因为它是基于实际的浏览数据和流量，而不是不准确或主观的调查反馈。