När du blir ombedd att skapa ett lösenord – antingen för ett nytt onlinekonto eller återställa inloggningsinformation för ett befintligt konto – kommer du sannolikt att välja ett lösenord som du vet att du kan komma ihåg. Många människor använder extremt grundläggande lösenord, eller en mer obskyr sådan som de återanvänder på många webbplatser. Vår forskning har funnit att andra – även de som använder olika lösenord för varje webbplats – har en metod att skapa dem, till exempel att basera dem alla på en bekant fras och göra platsspecifika justeringar.

I alla dessa fall, människorna skapar svaga lösenord som är lätta att gissa – speciellt när de ställs mot automatisk lösenordsknäckande programvara som kan testa tusentals möjligheter i sekunden. En orsak till denna svaghet kan mycket väl vara deras användares känslomässiga koppling till deras redan existerande rutin för att skapa lösenord.

Cybersäkerhetsinsatser uppmuntrar ofta människor att välja starkare lösenord, men erkänner sällan tanken att människor har denna känsla av anknytning. De fokuserar på den mätbara förbättringen av säkerheten utan att inse att de försöker övertala människor att byta till en mindre personlig metod.

Osäkra tendenser

Lösenord är nyckeln till cybersäkerhet för människor och företag. Ett enda dåligt lösenord kan ge en hackare tillgång till ett helt nätverk av datorer och datalagringsservrar.

Som ett resultat, många datorsystem tvingar användare att skapa nya lösenord regelbundet – säg, var 30:e eller 45:e dag – och kräver att varje lösenord innehåller versaler, siffror och skiljetecken även om federala experter avråder från båda dessa metoder. Att regelbundet kräva att folk väljer nya lösenord som är svåra att komma ihåg leder till olyckliga biverkningar. Människor kan återanvända ett starkt lösenord på flera webbplatser, eller så kan de skriva ner det nya lösenordet – vilket bara är säkert om du litar på de andra personerna som har åtkomst där du lagrar posten.

Att utbilda människor att skapa säkra lösenord har inte gjort någon större skillnad för den övergripande lösenordssäkerheten på internet. Människor kanske inte förstår riskerna med svaga lösenord – även om vissa experter skyller på karaktärsbrister, dumhet eller bara ren likgiltighet.

Begåvningseffekten

Vår forskning har identifierat en annan förklaring till varför människor väljer svaga lösenord:Människor känner att de äger, och är känslomässigt fästa vid, hur de vanligtvis skapar lösenord. I beteendeekonomi, denna typ av svar kallas begåvningseffekten, där människor så övervärderar sina befintliga ägodelar att de inte vill byta ut dem mot andra föremål – även om det nya föremålet är bättre eller mer värdefullt.

Kapitaleffekten appliceras vanligtvis på fysiska varor – och kan hjälpa till att förklara varför din mormor inte vill skaffa en ny tvättmaskin som ersätter sin decennier gamla. Vår forskning tyder på att samma psykologiska process påverkar hur människor överväger sina rutiner för att skapa lösenord.

I vår studie, vi frågade 419 deltagare hur de skapade sina lösenord. Många använde något de redan visste, till exempel ett husdjursnamn eller sin egen födelsedag. Andra hade utvecklat ett personligt system. De kan ha ett root-lösenord och sedan anpassa det för varje annan webbplats, använd ett mönster på tangentbordet eller hitta på en dum mening.

När vi undersökte djupare, vi upptäckte att människor kände en känsla av ägarskap och personlig stolthet över sin rutin för att skapa lösenord. En sa "Jag tror att mitt sätt är ett bra system." Dessutom, vi fann att de övervärderade sin egen metod och kände sig hotade av förslag om att den var felaktig.

Vi tillhandahåller ett scenario där "Terry" hånar "Pats" rutin för att skapa lösenord, och frågade sedan folk hur de trodde att Pat skulle reagera. De mest populära svaren var:att bli defensiv, undvika samtalet eller dra sig ur det. Alla dessa tyder på att en kritik av en personlig lösenordsrutin uppfattades som en attack eller ett hot.

Dessa svar vi hittade stämde perfekt överens med begåvningseffekten, inklusive upptäckten att deltagarna arbetade under illusionen att deras lösenord gav mer skydd än de faktiskt gjorde.

Mer än bara en vana

Den fäste människor känner till sin metod för att välja lösenord är mer än bara en vana. Psykologiskt sett, en vana är ett beteende som orsakas av en händelse eller ett föremål i miljön – som att borsta tänderna innan sänggåendet, tvätta händerna före måltider eller släcka belysningen när du lämnar ett rum. De är ofta nästan automatiska, och kräver inte ett medvetet beslut eller mycket eftertanke. Något som är en vana verkar förekomma naturligt, utan att något avsiktligt beslut utlöser dess aktivering.

Att välja ett lösenord är annorlunda. Det kräver alltid medveten och ansträngande kognition. Det är det som sätter begåvningseffekten i spel. Utbildningsprogram för cybersäkerhet bör innehålla information inte bara om hur man väljer säkrare lösenord, men bör också erkänna att användare kan känna en känsla av saknad över förändringen.

Människor kommer inte att välja starkare lösenord bara för att de blir ombedda. Om de känner att deras befintliga metoder behandlas med förakt, de kan uppfatta det som ett personligt angrepp, och blir ännu mindre benägna att anta säkrare metoder.

Istället, säkerhetsexperter bör hitta sätt att minimera användarnas känsla av förlust – och kanske till och med uppmuntra dem att hitta en ny känslomässig koppling till en säkrare metod att välja.

Den här artikeln är återpublicerad från The Conversation under en Creative Commons-licens. Läs originalartikeln.