Et sikkert forhold til adgangskoder betyder ikke at være knyttet til, hvordan du vælger dem

Når du bliver bedt om at oprette en adgangskode – enten til en ny onlinekonto eller nulstilling af loginoplysninger for en eksisterende konto – vil du sandsynligvis vælge en adgangskode, du ved, du kan huske. Mange mennesker bruger ekstremt grundlæggende adgangskoder, eller en mere obskur en, de genbruger på tværs af mange websteder. Vores forskning har fundet ud af, at andre – selv dem der bruger forskellige adgangskoder til hvert websted – har en metode til at udtænke dem, for eksempel at basere dem alle på en velkendt sætning og lave site-specifikke tweaks.

I alle de tilfælde, folk skaber svage adgangskoder, som er let at gætte – især når de står over for automatiseret kodeordsknækkende software, der kan teste tusindvis af muligheder i sekundet. En årsag til denne svaghed kan meget vel være deres brugeres følelsesmæssige forbindelse til deres eksisterende rutine for oprettelse af adgangskoder.

Cybersikkerhedsindsats tilskynder ofte folk til at vælge stærkere adgangskoder, men anerkender sjældent tanken om, at folk har denne følelse af tilknytning. De fokuserer på den målbare forbedring af sikkerheden uden at indse, at de forsøger at overtale folk til at skifte til en mindre personlig metode.

Usikre tendenser

Adgangskoder er nøglen til cybersikkerhed for mennesker og virksomheder. En enkelt dårlig adgangskode kan give en hacker adgang til et helt netværk af computere og datalagringsservere.

Som resultat, mange computersystemer tvinger brugere til at oprette nye adgangskoder regelmæssigt – f.eks. hver 30. eller 45. dag – og kræver, at hver adgangskode indeholder store bogstaver, tal og tegnsætningstegn, selvom føderale eksperter fraråder begge disse fremgangsmåder. Regelmæssigt at kræve, at folk vælger nye adgangskoder, som er svære at huske, fører til uheldige bivirkninger. Folk kunne genbruge en stærk adgangskode på flere websteder, eller de kunne skrive den nye adgangskode ned - hvilket kun er sikkert, hvis du stoler på de andre personer, der har adgang til, hvor du gemmer posten.

At træne folk til at skabe sikre adgangskoder har ikke gjort den store forskel for den overordnede adgangskodesikkerhed på internettet. Folk forstår måske ikke risiciene forbundet med svage adgangskoder - selvom nogle eksperter giver karakterfejl skylden, dumhed eller bare ren ligegyldighed.

Begavelseseffekten

Vores forskning har identificeret en anden forklaring på, hvorfor folk vælger svage adgangskoder:Folk føler, at de ejer, og er følelsesmæssigt knyttet til, den måde, de normalt opretter adgangskoder på. I adfærdsøkonomi, denne form for reaktion kaldes begavelseseffekten, hvor folk overvurderer deres eksisterende ejendele så meget, at de ikke ønsker at bytte dem til andre ting – også selvom den nye vare er bedre eller mere værdifuld.

Begavelseseffekten anvendes normalt på fysiske varer – og kan være med til at forklare, hvorfor din bedstemor ikke ønsker at få en ny vaskemaskine til at erstatte sin årtier gamle. Vores forskning tyder på, at den samme psykologiske proces påvirker, hvordan folk overvejer deres rutiner for oprettelse af adgangskoder.

I vores undersøgelse, vi spurgte 419 deltagere, hvordan de lavede deres adgangskoder. Mange brugte noget, de allerede kendte, såsom et kæledyrsnavn eller deres egen fødselsdag. Andre havde udviklet et personligt system. De kan have en root-adgangskode og derefter tilpasse den til hvert andet websted, brug et mønster på tastaturet eller lav en dum sætning.

Da vi undersøgte dybere, vi fandt ud af, at folk følte en følelse af ejerskab og personlig stolthed over deres rutine for oprettelse af adgangskoder. En sagde "Jeg tror, ​​min måde er et godt system." Ud over, vi fandt ud af, at de overvurderede deres egen metode og følte sig truet af forslag om, at den var mangelfuld.

Vi leverede et scenarie, hvor "Terry" håner "Pats" rutine for oprettelse af adgangskoder, og spurgte så folk, hvordan de troede, Pat ville reagere. De mest populære svar var:at blive defensiv, undgå samtalen eller trække sig fra den. Alle disse tyder på, at en kritik af en personlig adgangskoderutine blev opfattet som et angreb eller en trussel.

Disse svar, vi fandt, passede perfekt med begavelseseffekten, herunder opdagede, at deltagerne arbejdede under den illusion, at deres adgangskoder gav mere beskyttelse, end de faktisk gjorde.

Mere end bare en vane

Den tilknytning folk føler til deres metode til valg af adgangskode er mere end blot en vane. Psykologisk set, en vane er en adfærd som følge af en begivenhed eller en genstand i miljøet – som at børste tænder før sengetid, vaske hænder før måltider eller slukke lyset, når du forlader et værelse. De er ofte næsten automatiske, og kræver ikke en bevidst beslutning eller meget omtanke. Noget, der er en vane, ser ud til at forekomme naturligt, uden at nogen bevidst beslutning udløser dens aktivering.

At vælge en adgangskode er anderledes. Det kræver altid bevidst og anstrengende erkendelse. Det er det, der bringer begavelseseffekten i spil. Cybersikkerhedstræningsprogrammer bør omfatte information ikke kun om, hvordan man vælger mere sikre adgangskoder, men bør også erkende, at brugerne kan føle en følelse af tab ved ændringen.

Folk vælger ikke stærkere adgangskoder, bare fordi de bliver bedt om det. Hvis de føler, at deres eksisterende metoder bliver behandlet med foragt, de kan opfatte det som et personligt angreb, og bliver endnu mindre tilbøjelige til at indføre mere sikker praksis.

I stedet, sikkerhedseksperter bør finde måder at minimere brugernes følelse af tab – og måske endda opmuntre dem til at finde en ny følelsesmæssig forbindelse til en mere sikker metode til at vælge.

Denne artikel er genudgivet fra The Conversation under en Creative Commons-licens. Læs den originale artikel.