Why bad safety seems expedient - плохая безопасность кажется целесообразной?

After each leak of passwords experts more and more time explains to users as it is important to observe safety on the Internet: to create long passwords, to establish the manager of passwords, to use two-factorial аутентификацию etc. Unfortunately, each new case of leak of passwords shows that the situation does not change. Passwords both were weak, and remain weak, and users continue to use the same passwords on different sites.



The professor of the Californian university in Berkeley Stephen Vebber (Steven Webber) explains that experts in safety do not consider human psychology. Actually, the majority of people quite realise that it is necessary to observe safety on the Internet. But do not do it for the certain reasons. The first reason — a known phenomenon of human psychology when people prefer to receive the small guaranteed prize today, instead of the big hypothetical prize in the future. For example, at a choice to receive dollar right now or three dollars tomorrow the majority of people will choose dollar now. A similar situation with safety on the Internet: refusing to do бэкапы, refusing to use a software for generation of on-line passwords and without complicating itself two-factorial аутентификацией, people save time and resources, that is receive small, but notable benefit "right now". Though people risk to become a victim of breaking in the future, they consider it as the hypothetical possibility which probability is rather small. Thus, from the point of view of behavioural psychology, the person does natural, but an irrational choice in favour of weak safety. That is interesting, the same situation is frequently observed in corporate sector. The companies consider breaking as improbable hypothetical event in the future («a black swan») and consequently make the realised choice in favour of weak safety which seems expedient at the moment. One more interesting phenomenon of human psychology — so-called hyperbolic discounting, an original kind of a psychological deviation of behaviour of the person from logic norm. It is shown that users «postpone for the future» use бэкапов, use of strong passwords, two-factorial аутентификации is etc. natural, this future never comes. The phenomenon is shown in experiment when to people suggest to take dollar in year or three dollars in year and one day. Though the situation is completely similar to the previous question (dollar today or three dollars tomorrow), here the majority of people makes more rational choice in favour of three dollars. In other words, users consider that in the future they can make a rational choice though actually it not so — in a year this very day they again take one dollar. Thus, formation of users at all will not help to solve a problem with safety on the Internet, because all users and so are formed enough. A problem in psychology, and scientists prompt some variants, what ways can be used taking into account the above-stated psychological features of the person. 1. Binding obligations. As the person agrees that in the future he will establish the strong password instead of present weak, it is possible to connect its obligations for password change. The user with pleasure will promise that in 30 days it will replace the password on more proof — and when there will come this day, it is possible to put it before necessity to execute the obligation. 2. Safety by default. The same laziness and complacency which do not allow to users to pass to more protected mechanisms, work and in the opposite direction. That is if to establish options by default on as much as possible safe level or initially to give out 16-unit passwords to the majority of users laziness will change them to variant more convenient for. 3. The friendly interface. New methods аутентификации instead of text passwords. For example, the human brain badly works on storing, but well works on a cognizance already виденного. That is it is difficult to people to remember the password, but they are capable to learn easily it from set of variants. 4. Stimulus. Though people make an irrational choice, so far as concerns small instant benefit in relation to the big benefit in the future, they all the same can be pushed to a rational choice at the expense of economic stimulus. For example, the Internet provider can offer discounts for users who use strong passwords. The more strongly the password — the is more than discount. Or web services can offer discounts for users who are capable to prove that use the manager of passwords. 

После любой утечки паролей эксперты ещё и ещё раз объясняют пользователям, как важно соблюдать безопасность в интернете: создавать длинные пароли, установить менеджер паролей, применять двухфакторную аутентификацию и т.д. К несчастью, любой новый случай утечки паролей показывает, что ситуация не изменяется. Пароли как были слабыми, так и остаются слабыми, а пользователи продолжают применять одни и те же пароли на различных сайтах. Проф. Калифорнийского университета в Беркли Стивен Веббер (Steven Webber) объясняет, что эксперты по безопасности не учитывают человеческую психологию. В действительности, больше всего людей весьма осознают, что требуется соблюдать безопасность в интернете. Однако не делают этого по определённым причинам. I-я причина - небезызвестный феномен человеческой психологии, когда люди предпочитают получить небольшой гарантированный выигрыш сейчас, а не огромной теоретический выигрыш в будущем. К примеру, при выборе получить $ прямо сегодня или 3 $ завтра большая часть людей выберет $ теперь. Похожая ситуация с безопасностью в интернете: отказываясь делать бэкапы, отказываясь применять софт для создании онлайновых паролей и не затрудняя себя двухфакторной аутентификацией, люди экономят время и ресурсы, то есть получают маленькую, однако ощутимую выгоду "прямо сегодня". Впрочем люди рискуют стать жертвой взлома в будущем, они рассматривают это как гипотетическую возможность, вероятность которой вполне мала. Т.о., с позиции поведенческой психологии, человек делает естественный, однако нерациональный выбор в пользу слабой безопасности. Что любопытно, такая же ситуация чаще всего наблюдается в корпоративном секторе. Компании рассматривают взлом как маловероятное гипотетическое событие в будущем ("чёрный лебедь") и по этой причине делают осознанный выбор в пользу слабой безопасности, которая кажется целесообразной сейчас. Ещё 1 любопытный феномен человеческой психологии - так называемое гиперболическое дисконтирование, своеобразный вид психологического отклонения поведения человека от логической нормы. Он проявляется в том, что пользователи "откладывают на будущее" эксплуатацию бэкапов, эксплуатацию сильных паролей, двухфакторной аутентификации и т.д. Конечно, это будущее никогда не наступает. Феномен проявляется в эксперименте, когда людям предлагают взять $ ч/з г. или 3 $ ч/з г. и 1 день. Впрочем ситуация целиком аналогична предыдущему вопросу ($ сейчас или 3 $ завтра), тут большая часть людей делает более рациональный выбор в пользу 3-х $. Иначе говоря, пользователи думают, что в будущем они смогут сделать рациональный выбор, впрочем в действительности это не так - ч/з г. в тот же день они вновь возьмут 1 $. Т.о., образование пользователей никак не поможет решить проблему с безопасностью в интернете, так как все пользователи и так довольно образованы. Сложность в психологии, и исследователи подсказывают несколько вариантов, какие способы возможно применять с учётом вышеуказанных психологических особенностей человека. 1. Связующие обязательства. Т.к. человек согласен, что в будущем он установит сильный пароль вместо нынешнего слабого, возможно связать его обязательствами для смены пароля. Пользователь с удовольствием пообещает, что ч/з 30 суток он сменит собственный пароль на более стойкий - и когда наступит этот день, его возможно поставить перед необходимостью исполнить обязательство. 2. Безопасность изначально. Те же лень и благодушие, которые не дают пользователям перейти на более защищённые механизмы, работают и в обратном направлении. То есть если установить настройки изначально на в максимальной степени безопасный уровень или с самого начала выдавать 16-значные пароли, то большинству пользователей будет лень изменить их на более удобный для себя вариант. 3. Дружеский интерфейс. Новые методы аутентификации вместо текстовых паролей. К примеру, человеческий мозг плохо работает на запоминание, однако неплохо работает на узнавание уже виденного. То есть людям трудно вспомнить пароль, однако зато они способны просто узнать его из множества вариантов. 4. Стимулы. Впрочем люди делают нерациональный выбор, когда речь идёт о малой мгновенной выгоде по отношению к огромной выгоде в будущем, их всё-таки возможно подтолкнуть к рациональному выбору за счёт экономических стимулов. К примеру, интернет-провайдер может предлагать скидки для пользователей, которые применяют сильные пароли. Чем сильнее пароль - тем более скидки. Или веб-сервисы могут предлагать скидки для пользователей, которые способны доказать, что пользуются менеджером паролей.


Теги: взлом,хакеры,кракозябр,krakoziaber,безопасность,защита информации, антивирус,антихакер,хакатак,ddos,эксплойт