卡内基美隆大学研究显示，许多人对网站密码外泄通知无感，仅3成会在收到官方通知后确实变更密码

一项研究显示，即使知道自己常上的网站发生骇客入侵，但只有1/3的人会变更密码，其中又只有不到一半的人，会改用强度更高的密码来提高防护。

卡内基美隆大学旗下安全与隐私研究所（CyLab），所推动的安全行为展望台（Security Behavior Observatory, SBO）专案，研究使用者在网站被骇后，是否会变更账号。研究人员搜集249名用户从2017年1月到2018年12月的电脑使用资讯，包括网页密码、密码强度及网页URL并加以分析。

研究显示，在249名参与者中，63人在研究期间发生一次网域被骇事件，其中以Yahoo.com占最大宗，其次是健康饮食管理网站myfintnesspal、线上图库imgur.com及寻找祖先的ancestry.com。其中只有21人在业者公布被骇公告后变更密码，只有15人会在3个月内完成。21人中，有18人为Yahoo.com用户，他们因为网站发生重大资料外泄（即2018年Yahoo有10亿用户密码外流）变更密码，但仍然有31人不为所动。

研究人员还分析使用者新选的密码。249名受试者变更的新密码中，70%强度和旧密码类似，甚至更低。若只看网站被骇的63人，研究人员发现21个变更被骇网站密码的人中，仅不到一半（9个）改用强度较强的密码，平均新密码强度是旧密码的1.3倍，其余则使用强度类似，甚至更弱的密码。此外，这21个人中，会在一个网站入侵后一个月，还会去修改其他网站类似密码者有14人，但平均仅修改4个，不到所有平均账号数量的1/8（30个）。

总体而言，本研究显示网站密码外泄的通知已经失效，无法促使使用者采取行动，或有效的行动。因此研究人员建议主管机关，应要求网站提高资料外泄通知强度，像是在用户采取行动前不断重送通知，此外也应要求厂商在发生网站被骇后，应强制重设密码，教导使用者如何设定强密码。

他们也建议主管机关，应鼓励厂商使用双因素验证或密码以外的验证方法，并要求他们为密码进行杂凑或加盐处理，以防止帐密填充（credential-stuffing）或彩虹表（Rainbow Table）攻击，取得明文密码。