A Carnegie Mellon Egyetem Biztonság és Adatvédelem Intézete (CyLab) egy kisszámú, ám annál reprezentatívabb kutatása negatív képet fest a felhasználók jelszócserélési hajlandóságáról. A (How) Do People Change Their Passwords After a Breach? című tanulmány nem egy kérdőíves kutatás eredménye, hanem önkéntes alapon szolgáltatott valós böngésző forgalom elemzésével állt elő. A 2017 januárja és 2018 decembere között zajlott vizsgálatban 249 felhasználó vett részt, közülük végül a tárgyidőszakban 63 felhasználót érintett adatszivárgás, azonban csupán egyharmaduk (21-en) cserélte le a jelszavát, miután tudomást szerzett a kompromittálódásról. A CyLab az új jelszavak komplexitását is vizsgálta, mint kiderült csupán 9 felhasználó váltott erősebb jelszóra, a többiek a korábbihoz hasonló új jelszót választottak, sőt jellemző volt, hogy az előző jelszóból változatlan formában használtak fel karaktersorozatokat. A tanulmány egyértelműen rámutat arra, hogy a felhasználók továbbra is hiányos információkkal rendelkeznek arról, hogy mi számít megfelelően erős jelszónak, azonban a kutatók a platformokat is hibásnak tartják, azok ugyanis jellemzően nem fordítanak figyelmet arra, hogy figyelmeztessék a felhasználókat a jelszavak újrahasznosításának veszélyére.
