인터넷 사용자의 상당수가 기억하기 쉬운 패스워드를 사용하며, 변경하지 않고 그대로 사용하고 있었다. 패스워드를 일일이 기억하기 힘들어 동일한 패스워드를 여러 계정에서 사용하는 경우도 많았다. 

암호관리자 서비스 라스트패스(LastPass)가 3,250명을 대상으로 온라인 보안 행동을 조사한 결과, 응답자의 53%는 온라인 계정 침입에 관한 뉴스를 들었어도 지난 12개월 동안 패스워드를 바꾸지 않았다고 답했다. 42%는 기억하기 쉬운 패스워드를 생성하는 것이 보안보다 중요하다고 말했다. 사람들은 기억하기 쉬운 패스워드가 보안 위협이 있다는 것을 알고 있었지만, 패스워드를 바꾸지는 않았다. 91%는 이전과 동일한 패스워드를 사용하는 것이 위험하다는 것을 알고 있었다.

80%는 취약한 패스워드를 생성하는 것이 걱정된다는 사실에 동의했지만 48%는 의무가 아니라면, 패스워드를 변경할 생각이 없다고 답했다. 77%는 패스워드 보호가 최고의 방법이라는 것을 알고 있었다. 이번 조사 결과, 응답자들은 대체로 패스워드의 보안에 대해 제대로 이해하고 있었지만, 그 위험성을 무시하는 경향이 있었다. 또한, 많은 사람이 온라인에서의 생활을 대수롭지 않게 생각하고 있었다. 응답자에게 가입한 계정의 수를 질문하자, 71%는 1~20개라고 답했다.

라스트패스 사용자가 평균 약 38개 온라인 계정을 가지고 있었다. 응답자의 42%는 자신들의 계정이 해커들이 시간을 들여 해킹할 만큼 가치 있다고 생각하지 않았다. 동일한 패스워드를 얼마나 오래 사용하고 있는지 질문하자, 66%는 같은 패스워드를 계속해서 사용하고 있다고 답했다.

패스워드를 바꾸지 않고 재사용하는 이유를 질문하자, 60%는 패스워드를 계속 바꾸면 잊어버릴까 싶어 바꾸지 못하고 있다고 밝혔으며 52%는 자신이 사용하고 있는 모든 패스워드를 기억하고 싶어서라고 답했다. 

이번 조사에 따르면, 모든 패스워드를 기억하는 것은 효과가 없었다. 응답자의 25%가 패스워드를 잊어버려 한 달에 한 번 정도 재설정하고 있었다. 사용자들은 패스워드를 기억해야 하기 때문에, 예측 가능한 패스워드를 만들고 있었고 이 때문에 보안 단계가 높지 않았다. 온라인 계정을 보호하는 다른 방법도 있었는데 그중 하나는 다요인 인증(MFA)이었다. 54%는 개인 계정에 MFA를 사용하고 있었고 37%는 직장에 사용한다고 답했으며 19%는 MFA가 무엇인지 알지 못한다고 답했다.

65%는 패스워드보다 지문 인식 또는 안면 인식을 신뢰한다고 말했다. 가장 강력한 패스워드를 설정하는 계정이 무엇인지 질문하자, 69%는 금융, 47%는 이메일, 31%는 의료 기록, 29%는 업무 관련 계정이라고 답했다.

패스워드를 일일이 기억하지 못하는 경우 패스워드 매니저 사용을 권하기도 한다. 패스워드 매니저에는 마스터 패스워드가 보호하고 있는 계정의 모든 패스워드가 들어있다. 새로운 사이트에 계정을 만들 때 패스워드 매니저는 특별한 패스워드를 생성 및 저장하는 데 도움을 준다. 웹사이트나 앱에 가입할 때 패스워드 매니저를 열고 패스워드를 복사한 다음 로그인 바에 붙여넣는다. 그러면 패스워드 매니저는 사용자를 위해 패스워드를 자동으로 입력할 수 있도록 브라우저 확장과 연계한다.

카네기멜론대학의 사이랩 보안 및 프라이버시 연구소 로리 크레이너 이사는 “대부분 패스워드 규정을 지키지 않는다. 패스워드 매니저를 사용하지 않고 패스워드를 제대로 관리하는 것은 정말 어려운 일”이라고 말했다.

하지만 패스워드 매니저도 해커가 표적으로 삼을 수 있다는 것을 고려했을 때 완벽하지는 않다. 크레이너 이사는 “패스워드를 재사용하거나 보안 수준이 취약한 패스워드를 사용하고 있다면, 보안을 완벽하게 보장할 수 없더라도 패스워드 매니저를 사용하는 것이 훨씬 낫다”고 설명했다.  100% 안전성을 보장할 수 없지만, 계정의 보안 수준이 취약해질 가능성을 줄일 수 있다는 것이다.