Dos tercios de los usuarios no cambian sus contraseñas incluso después de una violación de datos

Los usuarios a menudo son bastante expresivos sobre su descontento después de una violación de datos, y podría argumentar que esto es completamente comprensible. Después de todo, al suscribirse a un servicio, le está confiando al proveedor sus datos, y cuando no está protegido tan bien como debería, tiene todo el derecho de estar molesto. Sin embargo, resulta que si bien muchas personas están listas para ir a las redes sociales para expresar su enojo contra la empresa que sufrió una violación, no todas están dispuestas a tomar medidas simples para protegerse.

Solo un tercio de los usuarios afectados por violaciones de datos cambian sus contraseñas

Hay más de unas pocas formas de almacenar las contraseñas de las personas, y después de un incidente de seguridad, es muy importante saber qué método de almacenamiento de contraseñas ha utilizado el proveedor violado. Si las credenciales se almacenan correctamente (es decir, hash y saladas con un algoritmo de hashing robusto), entonces los piratas informáticos que las roban tendrán dificultades para usarlas para comprometer las cuentas de las personas. Si, por otro lado, se guardan en texto sin formato, los riesgos son mucho mayores.

Cualquiera sea el caso, siempre se aconseja a los usuarios que cambien sus contraseñas por precaución. Sin embargo, un estudio realizado por investigadores de la Universidad Carnegie Melon muestra que la mayoría de las personas simplemente no se molestan.

Doscientas cuarenta y nueve personas acordaron participar en la encuesta, que mostró que solo uno de cada tres usuarios de un servicio violado está dispuesto a cambiar su contraseña después de enterarse del incidente. Los participantes tenían un software especial en sus computadoras hogareñas que registraba su historial de navegación y las cadenas que ingresaban en los campos HTML de los sitios web para el período comprendido entre enero de 2017 y diciembre de 2018. Sesenta y tres usuarios tenían cuentas en los sitios web y aplicaciones involucradas en los nueve principales las brechas de datos anunciadas durante ese período, y solo 21 de ellas cambiaron sus contraseñas después de que se enteraron del incidente.

Hay que decir que este es un subconjunto relativamente pequeño de usuarios, y sacar conclusiones generales basadas solo en estos datos probablemente no sea la mejor idea. Sin embargo, los números son preocupantes, especialmente cuando ves cómo actúan las personas cuando deciden cambiar su contraseña.

La gente todavía no puede crear contraseñas seguras y únicas para sus cuentas

Incluso aquellos que cambiaron sus contraseñas comprometidas no tenían demasiada prisa para hacerlo. De los 21 usuarios, solo 15 intercambiaron sus contraseñas dentro de los tres meses posteriores al anuncio de violación de datos. Esto está lejos de ser el único problema.

Como habrás adivinado, la encuesta destacó el problema de la reutilización de contraseñas por enésima vez. Los investigadores estimaron que los 21 usuarios que cambiaron sus contraseñas en el dominio violado tenían un promedio de 30 cuentas con contraseñas similares. Solo 14 personas decidieron proteger a algunos de ellos también, y en promedio, cambiaron solo cuatro contraseñas adicionales. Además, las nuevas contraseñas no eran realmente nuevas. Casi el 70% de las contraseñas recién asignadas eran tan fuertes o más débiles que las originales, y la mayoría de ellas se derivaron de las antiguas.

¿A quién culpar?

Está bastante claro que la situación no es exactamente ideal. Las personas no entienden los riesgos asociados con las contraseñas comprometidas. Aparentemente, tampoco saben cuán peligrosos podrían ser los ataques de relleno de credenciales, y parecen no encontrar nada malo en usar las mismas contraseñas para docenas de cuentas diferentes.

Sería fácil culpar a los usuarios de la misma manera que culpan a los proveedores de servicios cada vez que ocurre una violación de datos, pero la verdad es que las personas simplemente no tienen la educación suficiente para saber cuánto riesgo corren con su uso continuo de o contraseñas débiles. Los proveedores de servicios deben informar a los usuarios con lo que están lidiando, y cuando ocurre una violación, deben ser lo más transparentes posible sobre las posibles consecuencias.

Muchas personas creen que la única forma de resolver el problema de la contraseña sería solucionarlo por completo y encontrar un nuevo mecanismo de autenticación para reemplazarlo, pero está claro que todavía estamos muy lejos de lograrlo. A pesar de todas sus desventajas, por ahora, estamos atascados con la contraseña, y debemos encontrar una manera de usarla lo mejor que podamos.