Người dùng hiếm khi thay đổi mật khẩu sau khi bị rò rỉ thông tin

14:34 | 09/06/2020

Theo nghiên cứu được trình bày vào đầu tháng 6/2020 bởi Viện Bảo mật và quyền riêng tư (CyLab) của trường Đại học Carnegie Mellon (Hoa Kỳ), hầu hết người dùng không thực sự quan tâm tới việc thay đổi mật khẩu sau khi bị rò rỉ thông tin. Chỉ 1/3 người dùng áp dụng những biện pháp đảm bảo an toàn thông tin sau khi được thông báo là bị rò rỉ thông tin. 

Các nhà nghiên cứu đã phân tích các luồng truy cập web được thu thập bởi Cơ quan Quan sát hành vi an toàn mạng (Security Behavior Observatory - SBO) của trường Đại học này. Cơ quan này là nơi mà người dùng có thể đăng ký chia sẻ lịch sử duyệt web nhằm phục vụ nhu cầu nghiên cứu. Dữ liệu của 249 người tham gia đã được thu thập vào giữa tháng 01/2017 và tháng 12/2018.

Trong số những người tham gia, 63 người có tài khoản trên các tên miền vi phạm, mà các tên miền này đã có thông báo công khai sự cố rò rỉ trong thời gian thu thập khảo sát. Trong số 63 người dùng đó, 21 người đã tới trang web bị rò rỉ để thực hiện thay đổi mật khẩu. Ngoài ra, chỉ có 15 người trong số họ đã thay đổi mật khẩu trong vòng 3 tháng sau thông báo.

Bởi dữ liệu của SBO bao gồm thông tin về mật khẩu, nên nhóm CyLab cũng đã phân tích sự phức tạp của những mật khẩu mới. Các nhà nghiên cứu phát hiện rằng, trong số 21 người thay đổi mật khẩu, chỉ 1/3 thay đổi sang mật khẩu an toàn hơn. Những người còn lại thì tạo mật khẩu mới yếu hơn hoặc tương tự như trước.

Việc đặt mật khẩu mạnh được cho rằng trở lên quan trọng hơn bao giờ hết do sự phổ biến của rò rỉ thông tin. Các nhà nghiên cứu đổ một phần lỗi cho các nhà dịch vụ bị tấn công dữ liệu rằng, họ hầu như không bao giờ yêu cầu người dùng cần đặt lại những mật khẩu tương tự hoặc giống hệt các tài khoản khác. Người dùng được khuyến khích sử dụng các biện pháp như sử dụng trình quản lý mật khẩu để theo dõi mật khẩu và tránh các từ hoặc tổ hợp ký tự phổ biến.