Après une violation de données, les utilisateurs changent rarement leurs mots de passe et lorsqu'ils le font, ils sont souvent plus faibles, titre TechXplore.

Pour parvenir à leurs conclusions, des chercheurs du Carnegie Mellon CyLab Security and Privacy Institute ont en effet observé les pratiques de sécurité de 249 participants volontaires par le biais de l'Observatoire des comportements de sécurité (SBO), un groupe de participants acceptant de faire observer leurs comportements informatiques quotidiens.

Dans leur étude, basée notamment sur la fuite de données de Yahoo en 2017, seuls 21 des 63 utilisateurs dont le mot de passe avait été compromis l'avait par la suite modifié. Et seuls 13 % l'avaient fait dans les trois mois suivant l'annonce de la violation. De plus, leurs nouveaux mots de passe étaient souvent plus faibles que les précédents.

Pour aggraver les choses, les nouveaux mots de passe des utilisateurs étaient globalement similaires à ceux utilisés sur d'autres comptes. Et, sur les 30 autres mots de passe similaires en moyenne, moins de trois étaient changés.

Les auteurs de l'étude plaident pour que les entreprises victimes de violations de données indiquent clairement à leurs utilisateurs qu'ils devraient non seulement changer le mot de passe associé à leur compte affecté, mais également sur la totalité des autres sites où ils l'avaient également utilisé.