"(How) Do People Change Their Passwords After a Breach?" è il titolo di un'interessante studio condotto dai ricercatori del Security and Privacy Institute, dipartimento della Carnegie Mellon University, attraverso cui si è cercato di capire quali siano i comportamenti degli utenti in seguito alla comunicazione di un Data breach da parte del proprio provider di servizi online.
Il campione sottoposto a sondaggio era numericamente limitato, appena 250 partecipanti in maggioranza studenti e operatori del settore IT, ma fornisce una base di partenza per indagare la portata di un fenomeno a suo modo preoccupante proprio perché non riguarderebbe esclusivamente gli utenti a bassa scolarizzazione e con competenze tecniche limitate.
Cara vecchia Password
Nel corso della rilevazione solo un quarto del campione avrebbe ricevuto notizia di una violazione in grado di compromettere la sicurezza dei propri dati, di questi ultimi non più del 30% avrebbe provveduto a modificare le credenziali di accesso alle piattaforme coinvolta nell'attacco.
Circa un terzo degli utenti che si sarebbero dimostrati più responsabili dal punto di vista della sicurezza avrebbe deciso inoltre di scegliere una password più complessa, ma negli altri casi la modifica non sarebbe andata oltre alla digitazione di una stringa del medesimo livello di complessità.
Criteri di valutazione delle password
Per valutare la qualità delle nuove password sono stati presi in considerazione 3 criteri:
- il grado di somiglianza con la password precedente, dove per "somiglianza" si intende la scelta di stringhe formate per almeno la metà della loro lunghezza da sottostringhe presenti anche nella vecchia password;
- la "forza" della nuova e della vecchia password intesa come livello di inviolabilità;
- l'eventuale riutilizzo di una vecchia password.
Stringhe e sottostringhe
Sulla base di tali parametri sarebbe stato osservato che la percentuale di chi sceglie una password più "debole" rispetto a quella precedente corrisponderebbe a circa la metà di quella relativa a chi opta per un'alternativa più complessa. Mediamente il livello di "forza" delle nuove password non andrebbe oltre le 1.3 volte quella delle vecchie password, questo anche perché in molti casi le nuove password sarebbero state create utilizzando sottostringhe prelevate dalle vecchie.
In buona parte dei casi sarebbe stata notata la tendenza ad utilizzare credenziali simili, se non identiche, per l'accesso a più servizi, una problematica che tenderebbe a ripetersi anche quando le comunicazioni riguardanti i Data breach arrivano da più piattaforme. A tal proposito è interessante notare come una volta scelta una password più complessa per un determinato dominio, questa tenderebbe a essere riutilizzata almeno in parte (per esempio modificando solo alcuni caratteri) per altri servizi.