A maioria das pessoas não costuma trocar as suas senhas mesmo depois de serem avisadas de um vazamento de dados, conforme aponta um estudo do Instituto de Segurança e Privacidade (CyLab) da Universidade de Carnegie Mellon.

Pesquisadores utilizaram dados de voluntários que compartilharam informações de navegação. Dados de 249 participantes que se inscreveram por meio do Observatório de Comportamento de Segurança (SBO, na sigla em inglês) fizeram parte do conjunto analisado, com informações coletadas entre janeiro de 2017 e dezembro de 2018.

Esses voluntários deram acesso amplo ao que faziam em seus computadores, com o único propósito de pesquisa acadêmica, o que incluiu o história completo de navegação, senhas utilizadas para fazer logins em sites e aquelas que ficavam armazenadas nos gerenciadores de senha embutidos nos navegadores.

Com base nessa análise, os pesquisadores apontaram que 63 das 249 pessoas tiveram suas contas vazadas em brechas que foram anunciadas publicamente. Somente um terço dessas pessoas (21 delas) trocaram suas senhas. Dessas 21 pessoas, apenas 15 fizeram a troca dentro do período de três meses após o anúncio de vazamento.

Essas não foram as únicas descobertas do time de pesquisa. Entre as pessoas que trocaram as senhas, apenas 9 escolheram uma combinação mais forte. O restante criou senhas similares ou até mesmo mais fracas, geralmente reutilizando sequências de caracteres de suas credenciais antigas ou usando combinações similares a outras senhas que já estavam armazenadas em seus navegadores.

Embora o estudo tenha uma escala relativamente pequena, ele dá uma ideia sobre o comportamento real dos usuários. Vale sempre reforçar o lembrete: use senhas fortes e, se possível, únicas para cada uma de suas contas – isso vai evitar maiores danos caso algum ator malicioso consiga acesso às credenciais.

Uma forma eficiente de criar senhas únicas e complexas é utilizar um gerenciador de senhas – existem diversas opções e já listamos algumas delas aqui.

É importante também ficar atento ao vazamento de dados, que agora costuma ser notificado por e-mail quando contas são comprometidas. Mesmo assim, dê uma olhada de vez em quando n Have I Been Pwned?. Em casos de brechas, troque a senha o mais rápido possível.

Outras medidas importantes incluem o uso de autenticação em dois fatores. Em todo caso, temos um guia que mostra o que você deve fazer caso seus dados vazem na internet.