Existe uma maneira melhor de escolher uma senha segura. Crédito:XKCD, CC BY-SA
Quando for solicitado que você crie uma senha - seja para uma nova conta online ou redefinindo as informações de login de uma conta existente - você provavelmente escolherá uma senha que sabe que pode se lembrar. Muitas pessoas usam senhas extremamente básicas, ou um mais obscuro que eles reutilizam em muitos sites. Nossa pesquisa descobriu que outras pessoas - mesmo aquelas que usam senhas diferentes para cada site - têm um método para criá-las, por exemplo, baseando-os em uma frase familiar e fazendo ajustes específicos do site.
Em todos esses casos, as pessoas estão criando senhas fracas que são facilmente adivinhadas - especialmente quando confrontadas com software de quebra de senhas automatizado que pode testar milhares de possibilidades por segundo. Uma razão para essa fraqueza pode muito bem ser a conexão emocional de seus usuários com sua rotina de criação de senha preexistente.
Os esforços de segurança cibernética muitas vezes incentivam as pessoas a escolherem senhas mais fortes, mas raramente reconhecem a ideia de que as pessoas têm esse sentimento de apego. Eles se concentram na melhoria mensurável da segurança sem perceber que estão tentando persuadir as pessoas a mudar para um método menos pessoal.
Tendências inseguras
As senhas são essenciais para a segurança cibernética de pessoas e empresas. Uma única senha incorreta pode conceder a um hacker acesso a uma rede inteira de computadores e servidores de armazenamento de dados.
Como resultado, muitos sistemas de computador forçam os usuários a criar novas senhas regularmente - digamos, a cada 30 ou 45 dias - e exige que todas as senhas contenham letras maiúsculas, números e caracteres de pontuação, embora os especialistas federais aconselhem contra essas duas práticas. Exigir regularmente que as pessoas escolham novas senhas difíceis de lembrar leva a efeitos colaterais indesejáveis. As pessoas podem reutilizar uma senha forte em vários sites, ou podem anotar a nova senha - o que só é seguro se você confiar nas outras pessoas que têm acesso ao local onde você armazena o registro.
Treinar pessoas para criar senhas seguras não fez muita diferença para a segurança geral de senhas na Internet. As pessoas podem não entender os riscos relacionados a senhas fracas - embora alguns especialistas culpem as falhas de caractere, estupidez ou simplesmente indiferença.
O efeito de dotação
Nossa pesquisa identificou outra explicação para o motivo pelo qual as pessoas escolhem senhas fracas:as pessoas sentem que as possuem, e estão emocionalmente ligados a, a maneira como costumam criar senhas. Em economia comportamental, esse tipo de resposta é chamado de efeito dotação, em que as pessoas supervalorizam seus bens existentes que não querem trocá-los por outros itens - mesmo que o novo item seja melhor ou mais valioso.
O efeito de dotação é geralmente aplicado a bens físicos - e pode ajudar a explicar por que sua avó não quer uma nova máquina de lavar para substituir a que já tem décadas. Nossa pesquisa sugere que o mesmo processo psicológico influencia o modo como as pessoas consideram suas rotinas de criação de senhas.
Em nosso estudo, perguntamos a 419 participantes como criaram suas senhas. Muitos usaram algo que já conheciam, como um nome de animal de estimação ou seu próprio aniversário. Outros desenvolveram um sistema pessoal. Eles podem ter uma senha de root e, em seguida, personalizá-la para cada site diferente, use um padrão no teclado ou invente uma frase boba.
Quando investigamos mais profundamente, descobrimos que as pessoas tinham um senso de propriedade e orgulho pessoal sobre sua rotina de criação de senhas. Um disse:"Acho que meu método é um bom sistema". Além disso, descobrimos que eles superestimavam seu próprio método e se sentiam ameaçados por sugestões de que ele era falho.
Fornecemos um cenário em que "Terry" zomba da rotina de criação de senha de "Pat", e então perguntou às pessoas como elas achavam que Pat reagiria. As respostas mais populares foram:ficar na defensiva, evitando a conversa ou retirando-se dela. Tudo isso sugere que uma crítica a uma rotina de senha pessoal foi percebida como um ataque ou uma ameaça.
Essas respostas que encontramos alinhadas perfeitamente com o efeito de dotação, incluindo a descoberta de que os participantes trabalhavam com a ilusão de que suas senhas forneciam mais proteção do que realmente ofereciam.
Mais do que um hábito
O apego que as pessoas sentem pelo método de escolha de senha é mais do que apenas um hábito. Psicologicamente falando, um hábito é um comportamento indicado por um evento ou um item no ambiente - como escovar os dentes antes de dormir, lavar as mãos antes das refeições ou desligar as luzes ao sair de uma sala. Muitas vezes são quase automáticos, e não requerem uma decisão deliberada ou muito pensamento. Algo que é um hábito parece ocorrer naturalmente, sem qualquer decisão deliberada que desencadeie sua ativação.
Escolher uma senha é diferente. Sempre requer cognição deliberada e difícil. Isso é o que traz o efeito de dotação em jogo. Os programas de treinamento de segurança cibernética devem incluir informações não apenas sobre como escolher senhas mais seguras, mas também deve reconhecer que os usuários podem sentir uma sensação de perda com a mudança.
As pessoas não escolherão senhas mais fortes só porque foram solicitadas. Se eles sentirem que seus métodos existentes estão sendo tratados com desdém, eles podem perceber isso como um ataque pessoal, e tornam-se ainda menos propensos a adotar práticas mais seguras.
Em vez de, Os especialistas em segurança devem encontrar maneiras de minimizar a sensação de perda dos usuários - e talvez até incentivá-los a encontrar uma nova conexão emocional com um método de escolha mais seguro.
Este artigo foi republicado de The Conversation sob uma licença Creative Commons. Leia o artigo original.