Autorzy badania wzięli pod lupę 249 osób, które utraciły dane w wyniku cyberataku. Należy podkreślić, że naukowcy z Carnegie Mellon University zrezygnowali z tradycyjnej ankiety na rzecz bezpośrednich spotkań z ofiarami, co pozwoliło uzyskać precyzyjne i wartościowe informacje. 63 spośród 249 badanych osób nadal posiadało konta w naruszonych domenach. Co ciekawe, jedynie 33 proc. z nich zmieniło hasło, zaś 13 proc. zrobiło to w ciągu trzech miesięcy od uzyskania informacji o włamaniu. Natomiast 21 z 63 osób zmieniło hasło natychmiast po uzyskaniu informacji o naruszeniu danych, ale jego jakość zazwyczaj pozostawiła wiele do życzenia.
W okresie dwóch lat 223 z 249 uczestników badania zmieniło swoje hasła, aczkolwiek 70 proc. z tych zmian nie poprawiło, a czasami nawet osłabiło, bezpieczeństwo konta. Jednym z najczęstszym grzechów było używanie trywialnych haseł, których stosowanie odradzają specjaliści od bezpieczeństwa. Naukowcy z Carnegie Mellon University nie kryją, iż są negatywnie zaskoczeni postawą ofiar cyberataków. Choć część z nich wprowadziła nowe hasła wkrótce po incydencie, ale nie poprawiło to w znaczący sposób zabezpieczenia konta.
Jedną z najbardziej bolesnych kwestii dla dostawców produktów security jest samozadowolenie użytkowników w zakresie zarządzania hasłami dostępu. Najbardziej solidne urządzenie bądź aplikacja bezpieczeństwa mogą być bezradne, jeśli internauta używać będzie jednego banalnego oraz wspólnego hasła dla wszystkich swoich aktywnych zasobów online. Badanie przeprowadzone przez Carnegie Mellon University pokazuje jak ważnym elementem jest edukowanie internautów w zakresie cyberbezpieczeństwa, którzy nadal popełniają podstawowe błędy w sieci. Wyjściem z tej sytuacji jest korzystanie z uwierzytelniania składnikowego. Organy regulacyjne powinny zachęcać firmy do stosowanie tej formy zabezpieczeń - tłumaczy Mariusz Politowicz z firmy Marken, dystrybutora rozwiązań Bitdefender w Polsce.