После каждой утечки паролей специалисты ещё и ещё раз объясняют пользователям, как важно соблюдать безопасность в интернете: создавать длинные пароли, установить менеджер паролей, использовать двухфакторную аутентификацию и т.д. К сожалению, каждый новый случай утечки паролей показывает, что ситуация не меняется. Пароли как были слабыми, так и остаются слабыми, а пользователи продолжают использовать одни и те же пароли на разных сайтах.
Профессор Калифорнийского университета в Беркли Стивен Веббер (Steven Webber) объясняет, что специалисты по безопасности не учитывают человеческую психологию. На самом деле, большинство людей вполне осознают, что нужно соблюдать безопасность в интернете. Но не делают этого по определённым причинам.
Первая причина — известный феномен человеческой психологии, когда люди предпочитают получить маленький гарантированный выигрыш сегодня, а не большой гипотетический выигрыш в будущем. Например, при выборе получить доллар прямо сейчас или три доллара завтра большинство людей выберет доллар сейчас. Похожая ситуация с безопасностью в интернете: отказываясь делать бэкапы, отказываясь использовать софт для генерации онлайновых паролей и не затрудняя себя двухфакторной аутентификацией, люди экономят время и ресурсы, то есть получают маленькую, но ощутимую выгоду «прямо сейчас». Хотя люди рискуют стать жертвой взлома в будущем, они рассматривают это как гипотетическую возможность, вероятность которой весьма мала. Таким образом, с точки зрения поведенческой психологии, человек делает естественный, но нерациональный выбор в пользу слабой безопасности, пишет xakep.ru.
Что интересно, такая же ситуация зачастую наблюдается в корпоративном секторе. Компании рассматривают взлом как маловероятное гипотетическое событие в будущем («чёрный лебедь») и поэтому делают осознанный выбор в пользу слабой безопасности, которая кажется целесообразной в настоящий момент.
Ещё один интересный феномен человеческой психологии — так называемое гиперболическое дисконтирование, своеобразный вид психологического отклонения поведения человека от логической нормы. Он проявляется в том, что пользователи «откладывают на будущее» использование бэкапов, использование сильных паролей, двухфакторной аутентификации и т.д. Естественно, это будущее никогда не наступает. Феномен проявляется в эксперименте, когда людям предлагают взять доллар через год или три доллара через год и один день. Хотя ситуация полностью аналогична предыдущему вопросу (доллар сегодня или три доллара завтра), здесь большинство людей делает более рациональный выбор в пользу трёх долларов. Другими словами, пользователи считают, что в будущем они смогут сделать рациональный выбор, хотя на самом деле это не так — через год в тот же день они снова возьмут один доллар.
Таким образом, образование пользователей никоим образом не поможет решить проблему с безопасностью в интернете, потому что все пользователи и так достаточно образованы. Проблема в психологии, и учёные подсказывают несколько вариантов, какие способы можно использовать с учётом вышеуказанных психологических особенностей человека.
1. Связующие обязательства. Поскольку человек согласен, что в будущем он установит сильный пароль вместо нынешнего слабого, можно связать его обязательствами для смены пароля. Пользователь с удовольствием пообещает, что через 30 дней он сменит свой пароль на более стойкий — и когда наступит этот день, его можно поставить перед необходимостью исполнить обязательство.
2. Безопасность по умолчанию. Те же лень и благодушие, которые не дают пользователям перейти на более защищённые механизмы, работают и в обратном направлении. То есть если установить настройки по умолчанию на максимально безопасный уровень или изначально выдавать 16-значные пароли, то большинству пользователей будет лень изменить их на более удобный для себя вариант.
3. Дружественный интерфейс. Новые методы аутентификации вместо текстовых паролей. Например, человеческий мозг плохо работает на запоминание, но хорошо работает на узнавание уже виденного. То есть людям сложно вспомнить пароль, но зато они способны легко узнать его из множества вариантов.
4. Стимулы. Хотя люди делают нерациональный выбор, когда речь идёт о малой мгновенной выгоде по отношению к большой выгоде в будущем, их всё-таки можно подтолкнуть к рациональному выбору за счёт экономических стимулов. Например, интернет-провайдер может предлагать скидки для пользователей, которые используют сильные пароли. Чем сильнее пароль — тем больше скидки. Или веб-сервисы могут предлагать скидки для пользователей, которые способны доказать, что пользуются менеджером паролей.