Cyberthreat.id - Para akademisi dari Institus Keamanan dan Privasi Universitas Carnegie Mellon (CyLab) mengatakan bahwa hanya sekitar sepertiga pengguna mengganti kata sandi atau passwordnya setelah pengumuman terjadinya insiden pelanggaran data.

Temuan itu tertuang dalam sebuah studi bertajuk "(How) Do People Change Their Passwords After a Breach?" dan dipresentasikan di workshop IEEE 2020 yang membahas teknologi dan perlindungan konsumen baru-baru ini. Temuan ini tidak berdasarkan survei, melainkan melainkan analisa mendalam pada lalu lintas web secara global.

Para peneliti juga memanfaatkan bantuan dari Security Behavior Observatory (SBO) - sebuah kelompok riset dengan skema opt-in, dimana pengguna mendaftar dan berbagi riwayat browser mereka secara sadar untuk tujuan penelitian akademik.

"Kami bertujuan untuk lebih memahami tantangan yang dihadapi orang biasa saat menggunakan komputer di rumah mereka baik dalam jangka pendek maupun jangka panjang," kata para peneliti Cylab dalam postingan blog resminya.

Dataset tim peneliti mencakup informasi yang dikumpulkan dari komputer rumah dari 249 pengguna pada kurun waktu antara Januari 2017 hingga Desember 2018. Tidak hanya lalu lintas trafik, mereka juga mengumpulkan password yang digunakan untuk login ke website dan  tersimpan di peramban (browser).

Namun, dalam studinya, para akademisi dari Cylab tidak menyebutkan secara eksplisit dimana mereka mengumpulkan data tersebut.

Penelitian dalam skala kecil, diklaim para akademisi Cylab lebih akurat dalam mewakili praktik nyata ketika terjadi pelanggaran data, karena didasarkan pada data penelusuran dan lalu lintas aktual.

"Data ini kemudian dikirim ke 'Security Behavior Obervatory' kami. Dengan data ini, kami berharap dapat mengidentifikasi penyebab dan efek dari masalah privasi dan keamanan yang dapat dimanfaatkan yang dihadapi pengguna dalam komputasi sehari-hari," ujar para peneliti.

Berdasarkan analisis para akademisi Cylab, dari 249 pengguna, sebanyak 63 diantaranya mengalami pelanggaran data yang diumumkan secara publik dari sebuah perusahaan atau organisasi.

Lebih lanjut, hanya 21 (33 persen) dari 63 pengguna yang mengganti kata sandinya setelah  diumumkan terjadinya kebocoran data. Dari 21 pengguna, hanya 15 pengguna yang mengganti kata sandinya dalam waktu tiga bulan setelah pengumuman pelanggaran data.

Lebih rinci, dari 21 pengguna yang mengganti sandi, hanya 9 yang mengubahnya dengan kata sandi yang kuat. Sisanya, 12 pengguna masih  menggunakan kata sandi yang lemah.

Studi ini menunjukkan bahwa pengguna masih kekurangan literasi keamanan siber. Seharusnya, setelah mengetahui adanya pelanggaran data, para pengguna sesegera mungkin mengubah kata sandinya. []

Editor: Yuswardi A. Suud