L'anno scorso, un team di ricercatori di CyLab ha esplorato i comportamenti di condivisione degli account delle coppie romantiche e ha scoperto che alcune delle loro pratiche potrebbero compromettere la sicurezza. Basandosi su quello studio, il team voleva esplorare i comportamenti di condivisione dell'account di un altro sottoinsieme di persone:i dipendenti di un'azienda o di un'organizzazione.

Facebook, Google, e gli account e-mail aziendali sono solo alcuni dei tanti account che le persone condividono sul posto di lavoro per una serie di motivi, i ricercatori hanno scoperto nel loro nuovo studio. Gli account dei social media sono condivisi per consentire a più persone di gestire l'immagine online della propria azienda, e gli account e-mail aziendali sono comunemente condivisi per mantenere un'identità unificata quando si risponde a persone esterne al proprio team.

"La nozione di un conto, un utente non ha più senso, " afferma Jason Hong di CyLab, un professore dello Human-Computer Interaction Institute (HCII) e autore corrispondente dello studio. "Dobbiamo iniziare a ripensare a come progettare questo tipo di account".

Un tale ripensamento è necessario, Hong dice, perché come questi account sono attualmente condivisi può portare a contrattempi.

Il loro studio, "Normale e facile:pratiche di condivisione dell'account sul posto di lavoro, " è stato presentato alla conferenza ACM della scorsa settimana sul lavoro cooperativo supportato da computer e il social computing.

Nello studio, i ricercatori hanno intervistato 98 partecipanti provenienti da una serie diversificata di luoghi di lavoro negli Stati Uniti sulle loro pratiche di condivisione degli account. Hanno scoperto che gli intervistati hanno condiviso le credenziali per una media di 11 account con i loro colleghi.

"In realtà li scriviamo e li attacchiamo su una lavagna vicino ai computer su cui vengono utilizzati, " ha scritto un partecipante al sondaggio che ha lavorato nella produzione.

I metodi specifici utilizzati dai partecipanti per condividere le password hanno abbracciato una gamma piuttosto ampia. Alcuni li hanno condivisi direttamente dicendo ad altri verbalmente o elettronicamente (ad esempio testo o e-mail), e alcune credenziali condivise in una posizione comune, Per esempio, scrivendoli su una lavagna in uno spazio condiviso. Alcuni usavano un gestore di password a cui i dipendenti avevano accesso.

In un caso, i dipendenti hanno utilizzato una barriera fisica, una cassaforte, per proteggere le credenziali dell'account digitale.
"In realtà abbiamo un libro che ha tutte le informazioni di accesso/password condivise. Blocchiamo il libro in un file e dobbiamo bloccarlo quando ha finito di essere utilizzato, " ha scritto un partecipante che ha lavorato nell'istruzione.

Nella maggior parte dei casi, account condivisi da persone per centralizzare la collaborazione su un'attività o un progetto, ma questo metodo di collaborazione porta ad alcune sfide in termini di responsabilità e consapevolezza.

"Non puoi dire chi ha fatto cosa se tutti usano lo stesso nome utente e password, "Hong dice. "A volte potrebbe esserci un messaggio importante per quell'account, ma solo la persona che ha effettuato l'accesso dopo l'invio del messaggio ha visto il messaggio. Nessun altro lo vedrebbe".

Perché le persone dovrebbero condividere un singolo account Dropbox o Google Drive, anche se queste piattaforme consentono a più utenti di collaborare? Hong dice che quelle persone preferirebbero non passare il tempo a configurare e ricordare le credenziali per un nuovo account, dato quante altre credenziali dell'account gestiscono quotidianamente.

Altri problemi condivisi dagli intervistati sono stati casi come l'espulsione forzata di un account quando un'altra persona ha effettuato l'accesso, o hai problemi con l'autenticazione a due fattori, poiché il secondo fattore – il dispositivo di qualcuno – appartiene presumibilmente a una sola persona. Alcuni intervistati hanno condiviso esperienze di blocco dell'account dopo che qualcun altro ha digitato troppe volte la password sbagliata.

Hong crede che molti, se non tutto, di queste sfide possono essere affrontate con alcune modifiche progettuali.

"Le aziende che offrono questi account dovrebbero consentire più email su quell'account, " Hong dice. "Questi account dovrebbero anche consentire l'accesso simultaneo in modo che quando un utente accede all'account, un altro non viene cacciato".

Gli autori suggeriscono anche che gli account dovrebbero consentire più profili al loro interno, imitando il modello di account di Netflix.

"Avresti ancora lo stesso nome utente e password, ma ora potresti dire 'Questo è Jason che fa il lavoro, ' o qualcun altro, "Hong dice, "Ciò ti permetterebbe di gestire l'aspetto della responsabilità e sapere chi ha fatto cosa".

Altri autori dello studio includevano il ricercatore in visita alla CMU Yunpeng Song della Xi'an Jiaotong University, Xi'an Jiaotong professore Zhongmin Cai, HCII Ph.D. studente Cori Faklaris, e la professoressa HCII Laura Dabbish.