Cambio de contraseña después de una brecha de seguridad

Este estudio muestra que la mayoría de las personas no cambia sus contraseñas después de una brecha de seguridad y, si lo hacen, la cambian a una contraseña más débil.

Resumen: Para protegerse contra el uso indebido de las contraseñas comprometidas en una brecha de seguridad, los consumidores deben cambiar de inmediato las contraseñas afectadas y cualquier otra contraseña similar que tengan en otras cuentas. Lo ideal sería que las empresas afectadas fomentaran activamente este comportamiento y dispusieran de mecanismos para mitigar el daño. Si queremos hacer recomendaciones a las empresas sobre cómo ayudar a sus usuarios a realizar estas y otras acciones de mejora de la seguridad, primero debemos tener cierta comprensión de la eficacia actual de las prácticas que realizan dichas empresas después de que se produzcan dichas brechas.

Para estudiar la efectividad de las notificaciones de brechas de seguridad relacionadas con las contraseñas y las prácticas aplicadas después de una brecha, examinamos, a partir de datos de contraseñas reales de 249 participantes, si estos participantes cambiaron sus contraseñas de forma efectiva después del anuncio de una brecha de seguridad y cómo lo hicieron.

De los 249 participantes, 63 tenían cuentas en dominios donde se habían producido brechas de seguridad. Solo el 33 % de esos 63 participantes cambiaron sus contraseñas y únicamente el 13 % de ellos lo hicieron durante los tres meses posteriores al anuncio de la brecha de seguridad. Las nuevas contraseñas eran, de media, 1,3 veces más seguras que las antiguas (si se compara la seguridad de la transformación en log10), aunque la mayoría eran más débiles o tenían el mismo nivel de seguridad.

De forma preocupante, las nuevas contraseñas eran, en general, bastante similares a las contraseñas de otros participantes, y que los participantes rara vez cambiaban las contraseñas en otros sitios web, incluso cuando estas eran iguales o similares a la contraseña en el dominio donde se había producido la brecha de seguridad. Nuestros resultados subrayan la necesidad de establecer requisitos más rigurosos para el cambio de contraseñas después de una brecha y de notificaciones de brechas de seguridad más eficaces que ofrezcan un asesoramiento completo.

En el siguiente enlace se puede acceder otro artículo sobre el mismo tema. 

EDITADO: Acceso a otro artículo y al hilo de Slashdot.