[钉科技编译]根据《zdnet》网站消息,一项研究显示,即使知道自己的账号信息泄露之后,也只有三分之一的人会变更密码,其中又只有不到一半的人,会改用强度更高的密码来提高防护。
卡内基梅隆大学 Security Behavior Observatory (SBO)项目的研究人员收集了249名用户从2017年1月到2018年12月的电脑使用信息,包括网页密码、密码强度及网页URL并加以分析。
研究显示,在249名参与者中,63人在研究期间遭遇过一次账号信息泄露事件,其中只有21人收到提醒后变更密码,在3个月内完成密码变更的更是只有区区15人。
研究人员还分析了这些受试者新选的密码。249名受试者变更的新密码中,70%强度和旧密码类似,甚至更低。如果只看账号遭遇过信息泄露的63人,研究人员发现21个变更网站密码的人中,仅有不到一半(9个)改用强度较强的密码,平均新密码强度是旧密码的1.3倍,其余则使用了强度类似甚至更弱的密码。
总体而言,该研究显示网站密码外泄的通知收效甚微,无法有效促使用户修改密码,或者说修改为强度更强的密码。因此研究人员建议主管部门,应要求网站提高资料外泄通知强度,像是在用户修改密码之前不断发送通知。此外,也应要求相应网站在发生账号信息泄露后,强制重设密码,引导用户设定强度更强的密码。(钉科技根据《zdnet》网站消息编译)
,