新しいオンライン アカウントの場合、または既存のアカウントのログイン情報をリセットする場合に、パスワードの作成を求められた場合、 覚えやすいパスワードを選択する可能性が高い。 多くの人が使う 非常に基本的なパスワード、またはもっと曖昧な 多くのサイトで再利用されるもの. 我々の研究 他の人は、サイトごとに異なるパスワードを使用している人であっても、パスワードを考案する方法を持っていることを発見しました。たとえば、すべてのパスワードを以下に基づいています。 よく知られたフレーズとサイト固有の調整を行う.
これらすべてのケースにおいて、人々は容易に推測できる弱いパスワードを作成しています。特に、 毎秒何千もの可能性。 この弱点の理由の XNUMX つは、既存のパスワード作成ルーチンに対するユーザーの感情的なつながりである可能性があります。
サイバーセキュリティへの取り組みでは、より強力なパスワードを選択することが人々に奨励されることがよくありますが、人々がこのような愛着感を持っているという考えはほとんど認識されていません。 彼らは、人々に新しいものに切り替えるよう説得しようとしていることに気づかずに、セキュリティの目に見える改善に重点を置いています。 あまり個人的な方法ではない.
不安な傾向
パスワードはサイバーセキュリティの鍵です 人と企業のために。 間違ったパスワードが XNUMX つあると、ハッカーにアクセスを許可されてしまう可能性があります。 コンピュータとデータストレージサーバーのネットワーク全体.
その結果、多くのコンピュータ システムは、 ユーザーに定期的に新しいパスワードを作成するよう強制する – たとえば、30 日または 45 日ごと – すべてのパスワードに大文字、数字、句読点文字を含めることを要求します。 連邦専門家は反対するよう忠告する これらの両方の実践です。 覚えにくい新しいパスワードを選択するよう定期的に要求すると、残念な副作用が生じます。 人々はできるだろう 強力なパスワードを再利用する 複数のサイトに保存することも、新しいパスワードを書き留めることもできます。 他人を信頼できる場合にのみ安全です 記録を保存する場所にアクセスできる人。
安全なパスワードを作成するためのトレーニング 大きな違いはありません インターネット上の全体的なパスワードのセキュリティに役立ちます。 人々はかもしれない リスクを理解していない 脆弱なパスワードに関連している – 一部の専門家は非難しているが 性格上の欠陥, 愚かな or 単なる無関心.
賦与効果
我々の研究 は、人々が弱いパスワードを選択する理由について、別の説明を特定しました。それは、人々が通常のパスワードの作成方法を所有しており、感情的に愛着していると感じているためです。 行動経済学では、この種の反応は 寄付効果、そこで人々はそうします 既存の所有物を過大評価する 彼らは 他のアイテムと交換したくない – たとえ新しいアイテムの方が優れていたり価値があったとしても。
授与効果は通常、物理的な商品に適用されます。これは、おばあちゃんが何十年も使用した洗濯機の代わりに新しい洗濯機を購入したくない理由を説明するのに役立つかもしれません。 私たちの研究は、同じ心理プロセスが人々がパスワード作成ルーチンをどのように考えるかに影響を与えていることを示唆しています。
私たちの調査では、419 人の参加者にパスワードをどのように作成したかを尋ねました。 多くの人は、ペットの名前や自分の誕生日など、すでに知っているものを使用しました。 個人的なシステムを開発した人もいます。 彼らは root パスワードを持っていて、それをさまざまなサイトごとにカスタマイズしたり、キーボードのパターンを使用したり、愚かな文を作成したりする可能性があります。
さらに詳しく調査したところ、人々は自分のパスワード作成ルーチンに対して当事者意識と個人的な誇りを感じていることがわかりました。 ある人は「私のやり方は良いシステムだと思う」と言いました。 さらに、彼らは自分たちの方法を過大評価しており、それが欠陥があるという示唆に脅威を感じていることもわかりました。
「テリー」が「パット」のパスワード作成ルーチンを嘲笑するシナリオを用意し、パットがどのように反応すると思うかを人々に尋ねました。 最も多かった反応は、防御的になる、会話を避ける、または会話から撤退するというものでした。 これらはすべて、個人のパスワード ルーチンに対する批判が攻撃または脅威として認識されたことを示唆しています。
私たちが発見したこれらの回答は、参加者が自分のパスワードが実際よりも保護されていると錯覚して取り組んでいたことが判明するなど、寄付効果と完全に一致していました。
単なる習慣以上のもの
パスワードの選択方法に対する人々の愛着は、単なる習慣以上のものです。 心理学的に言えば、習慣というのは、 ある出来事をきっかけとした行動 または環境内の項目 – 就寝前の歯磨き、食事前の手洗い、部屋を出るときに電気を消すなど。 多くの場合、それらはほぼ自動的に行われ、意図的な決定や多くの思考を必要としません。 習慣的なものは、その活性化を引き起こす意図的な決定がなくても、自然に発生するようです。
パスワードの選択は異なります。 常に意図的かつ努力的な認識が必要です。 それが「賦与効果」をもたらすのです。 サイバーセキュリティ トレーニング プログラムには、次の情報だけでなく、 選び方 より安全なパスワードに変更する必要がありますが、その変更についてユーザーが喪失感を感じる可能性があることも認識する必要があります。
人々は、求められたからといって、より強力なパスワードを選択することはありません。 自分の既存の方法が軽蔑されて扱われていると感じると、それを個人攻撃と認識し、より安全な方法を採用する可能性がさらに低くなる可能性があります。
代わりに、セキュリティ専門家はユーザーの喪失感を最小限に抑える方法を見つけるべきであり、おそらく、より安全な方法を選択するための新たな感情的なつながりをユーザーに見つけるよう奨励することさえできるでしょう。
著者: メリル・ワルケンティン、ジェームズ J. ラウズ情報システム寄付教授、 ミシシッピ州立大学; カレン・ルノー、サイバーセキュリティ教授、 アバートレイ大学, ロバート・オトンド、情報システム准教授、 ミシシッピ州立大学