C'è un modo migliore per scegliere una password sicura. Credito:XKCD, CC BY-SA
Quando ti viene chiesto di creare una password, per un nuovo account online o per reimpostare le informazioni di accesso per un account esistente, è probabile che tu scelga una password che sai di poter ricordare. Molte persone usano password estremamente semplici, o uno più oscuro che riutilizzano in molti siti. La nostra ricerca ha scoperto che altri, anche quelli che utilizzano password diverse per ogni sito, hanno un metodo per elaborarli, ad esempio basandoli tutti su una frase familiare e apportando modifiche specifiche al sito.
In tutti quei casi, le persone stanno creando password deboli che possono essere facilmente indovinate, specialmente quando si trovano di fronte a software di cracking automatico delle password in grado di testare migliaia di possibilità al secondo. Una delle ragioni di questa debolezza potrebbe essere la connessione emotiva dei loro utenti con la loro routine di creazione della password preesistente.
Gli sforzi per la sicurezza informatica spesso incoraggiano le persone a scegliere password più efficaci, ma raramente riconoscono l'idea che le persone abbiano questo sentimento di attaccamento. Si concentrano sul miglioramento misurabile della sicurezza senza rendersi conto che stanno cercando di persuadere le persone a passare a un metodo meno personale.
Tendenze insicure
Le password sono fondamentali per la sicurezza informatica di persone e aziende. Una singola password errata può garantire a un hacker l'accesso a un'intera rete di computer e server di archiviazione dati.
Di conseguenza, molti sistemi informatici costringono gli utenti a creare regolarmente nuove password, ad esempio ogni 30 o 45 giorni e richiedere che ogni password contenga lettere maiuscole, numeri e caratteri di punteggiatura anche se gli esperti federali sconsigliano entrambe queste pratiche. Richiedere regolarmente alle persone di scegliere nuove password difficili da ricordare porta a sfortunati effetti collaterali. Le persone potrebbero riutilizzare una password complessa su diversi siti, oppure potrebbero annotare la nuova password, che è sicura solo se ti fidi delle altre persone che hanno accesso a dove conservi il record.
Formare le persone a creare password sicure non ha fatto molta differenza per la sicurezza complessiva delle password su Internet. Le persone potrebbero non comprendere i rischi legati a password deboli, anche se alcuni esperti incolpano i difetti di carattere, stupidità o semplice indifferenza.
L'effetto dotazione
La nostra ricerca ha identificato un'altra spiegazione del perché le persone scelgono password deboli:le persone sentono di possedere, e sono emotivamente attaccati a, nel modo in cui di solito creano le password. In economia comportamentale, questo tipo di risposta è chiamato effetto dotazione, in cui le persone sopravvalutano così tanto i loro beni esistenti da non volerli scambiare con altri oggetti, anche se il nuovo oggetto è migliore o più prezioso.
L'effetto dotazione viene solitamente applicato ai beni fisici e può aiutare a spiegare perché tua nonna non vuole avere una nuova lavatrice per sostituire quella vecchia di decenni. La nostra ricerca suggerisce che lo stesso processo psicologico influenza il modo in cui le persone contemplano le loro routine di creazione della password.
Nel nostro studio, abbiamo chiesto a 419 partecipanti come hanno creato le loro password. Molti hanno usato qualcosa che già sapevano, come il nome di un animale domestico o il proprio compleanno. Altri avevano sviluppato un sistema personale. Potrebbero avere una password di root e quindi personalizzarla per ogni sito diverso, usa uno schema sulla tastiera o inventa una frase stupida.
Quando abbiamo sondato più a fondo, abbiamo scoperto che le persone provavano un senso di proprietà e orgoglio personale riguardo alla loro routine di creazione della password. Uno ha detto:"Penso che la mia strada sia un buon sistema". Inoltre, abbiamo scoperto che sopravvalutavano il proprio metodo e si sentivano minacciati da suggerimenti che erano imperfetti.
Abbiamo fornito uno scenario in cui "Terry" deride la routine di creazione della password di "Pat", e poi ha chiesto alle persone come pensavano che avrebbe reagito Pat. Le risposte più popolari sono state:mettersi sulla difensiva, evitando la conversazione o ritirandosi da essa. Tutto ciò suggerisce che una critica a una routine di password personale è stata percepita come un attacco o una minaccia.
Queste risposte che abbiamo trovato erano perfettamente allineate con l'effetto dotazione, inclusa la scoperta che i partecipanti lavoravano nell'illusione che le loro password offrissero una protezione maggiore di quella che effettivamente offrivano.
Più che un'abitudine
L'attaccamento che le persone provano per il metodo di scelta della password è più di una semplice abitudine. Psicologicamente parlando, un'abitudine è un comportamento provocato da un evento o da un elemento nell'ambiente - come lavarsi i denti prima di andare a letto, lavarsi le mani prima dei pasti o spegnere le luci quando si esce da una stanza. Sono spesso quasi automatici, e non richiedono una decisione deliberata o molto pensiero. Qualcosa che è un'abitudine sembra accadere naturalmente, senza alcuna deliberata decisione che ne scateni l'attivazione.
La scelta di una password è diversa. Richiede sempre una cognizione deliberata e faticosa. Questo è ciò che mette in gioco l'effetto dotazione. I programmi di formazione sulla sicurezza informatica dovrebbero includere informazioni non solo su come scegliere password più sicure, ma dovrebbe anche riconoscere che gli utenti possono provare un senso di perdita per il cambiamento.
Le persone non sceglieranno password più efficaci solo perché gli viene chiesto. Se sentono che i loro metodi esistenti vengono trattati con disprezzo, potrebbero percepire che come un attacco personale, e diventa ancora meno probabile che adotti pratiche più sicure.
Anziché, gli esperti di sicurezza dovrebbero trovare modi per ridurre al minimo il senso di perdita degli utenti e forse anche incoraggiarli a trovare una nuova connessione emotiva con un metodo di scelta più sicuro.
Questo articolo è stato ripubblicato da The Conversation con una licenza Creative Commons. Leggi l'articolo originale.