Slechts 1 op 3 verandert wachtwoord na datalek

Gebruikers veranderen slechts zelden hun wachtwoord na een datalek, zo blijkt uit een nieuwe studie van het Security and Privacy Institute (CyLab) van Carnegie Mellon. Slechts één op drie gebruikers verandert doorgaans zijn wachtwoord na een datalek.

De studie is gebaseerd op een analyse van data afkomstig van 249 gebruikers, die hun volledige browsergeschiedenis beschikbaar stelden voor academisch onderzoek binnen het Security Behavior Observatory (SBO) van de universiteit. De data werden verzameld tussen januari 2017 en december 2018, en bevatten naast webverkeer ook wachtwoorden voor websites die bewaard werden in de browser.

Van die 249 gebruikers werden 63 slachtoffer van een datalek tijdens de periode van dataverzameling. Van die groep gingen 21 (33%) over tot het wijzigen van hun wachtwoord. Slechts 15 gebruikers deden dat in de eerste drie maanden nadat het lek bekend werd.

Hoewel de studie op een kleine schaal werd uitgevoerd in vergelijking met andere surveygebaseerde onderzoeken, merkt ZDNet op dat ze tegelijk een accurater beeld geeft, doordat het daadwerkelijke gedrag van gebruikers werd geanalyseerd in plaats van wat ze beweren te doen.

Zwakke wachtwoorden

Omdat de SBO-data wachtwoorden bevat, kreeg het CyLab-team ook zicht op de complexiteit van de nieuwe wachtwoorden die gebruikers kozen na een datalek. Slechts een derde van de gebruikers (9) die hun wachtwoorden veranderden, koos daarbij voor een sterker wachtwoord dan voorheen.

De rest koos gelijkwaardige of zwakkere wachtwoorden. Daarbij werd veelal gebruik gemaakt van dezelfde tekens als het vorige wachtwoord of variaties op wachtwoorden voor andere accounts die in de browser werden bewaard.

De onderzoekers concluderen dat gebruikers nog steeds onvoldoende voorgelicht zijn in het gebruik van sterke unieke wachtwoorden, of die kennis tenminste toch niet in praktijk omzetten. Ze wijzen ook met een vinger in de richting van de gehackte diensten, die “bijna nooit mensen vertellen om hun vergelijkbare – of identieke – wachtwoorden voor andere accounts opnieuw in te stellen.”