A LastPass jelszókezelő, melyet tavaly szerzett meg a LogMeIn elvégzett egy érdekes kutatást: nem a statisztikák felől közelített a jelszókezelés problémájához, hanem a pszichológiai felől. Egy statisztikai elemzés is tud érdekes dolgokat produkálni, például kiderül belőle, hogy ha arra kényszerítenek bennünket, hogy rendszeresen módosítsuk a jelszavainkat, hogyan indul be a védelmi mechanizmusunk. És persze ennek következtében a jelszómódosítási kényszer több kárt okoz (http://bitport.hu/gyakran-valtoztat-jelszot-inkabb-hasznaljon-sokaig-eroset), mint amennyi haszna lenne.

A LastPass kutatása azonban túlmutat a neves kutató, a Federal Trade Commission technológusa, Lorrie Cranor gondolatmenetén. A fogyasztói lélektan, viselkedés és hozzáállás, valamint a személyes jelszavak összefüggéseit vizsgálta. A kutatásban a LastPass csak megrendelő volt, magát az elemzést és az alapjául szolgáló felmérést a Lab42 piackutató cég készítette el.

A statisztikák egy irányba mutatnak

A kutatásnak vannak olyan megállapításai, melyeket szinte minden ilyen témájú elemzésben megtalálunk. Ismét bebizonyosodott például, hogy az emberek még mindig egynél több helyen használják ugyanazt a jelszót annak ellenére, hogy a többség hallhatott a jelentős adatlopásokról. De mi az oka – tették fel a kérdést a kutatók –, hogy miközben tisztában vagyunk a kockázatokkal, mégis rossz jelszóhasználati szokásokat alakítunk ki. Az egyszerű válasz: online szokásainkra egyfajta kognitív disszonancia jellemző.

A fogalom, amit Leon Festinger (1919-1989) amerikai szociálpszichológus alkotott meg, azt írja le, hogyan hozzuk összhangba korábbi vélt vagy valós ismereteinket annak ellentmondó új információkkal. Hogy feloldjuk közöttük lévő disszonanciát – ami szorongást okoz –, például figyelmen kívül hagyjuk vagy leértékeljük az új információkat erősítő érveket. Azaz jelen esetben van egy berögzült és kényelmes jelszóhasználati gyakorlat, és bár halljuk az ellene szóló érveket, azok fontosságát próbáljuk csökkenteni, vagy új érveket hozunk saját gyakorlatunk mellett.

Van azonban a kutatásnak egy megnyugtató megállapítása: személyiségtípusunk nincs hatással az online viselkedési szokásainkra. Így legalább megmarad a remény, hogy egyszer valóban erős jelszavakat fogunk használni, helyesen.

Az jellemző ránk, hogy miért nem csináljuk jól

Azt azonban jól lehetett tipizálni, hogy ki hogyan magyarázza meg a jelszóhasználati szokásaikat. Azoknak, akiket az jellemez, hogy minden helyzetben ők akarják uralni a helyzeteket, és figyelnek a részletekre, közel fele saját proaktív erőfeszítéseinek köszönhetően nem gondolja, hogy fokozott kockázatot jelentene egy-egy jelszó több helyen történő használata. Ők úgy érzik, jól meg tudják védeni magukat az erősnek vélt jelszavaikkal.

A másik csoport – nevezzük őket lazáknak – jellemzően szintén tisztában vannak a veszélyekkel. Ugyanakkor nemtörődömség, szórakozottság és a körülmények rugalmas kezelése jellemzi őket. Az ebbe a csoportba tartozó válaszadók több mint fele fél a jelszólopástól, ezért úgy érzi, korlátoznia kell az online tevékenységét és fiókjainak számát. Ám érdekes, hogy ők viszont meggyőzik magukat arról, hogy a fiókjuk értéktelen a hackerek számára, és ezért nem is foglalkoznak különösebben a jelszóbiztonsággal.

Tehát abban nem játszik szerepet a személyiségtípus, hogy jól vagy rosszul használjuk-e a jelszavakat, ám abban mindenképpen, hogy mivel magyarázzuk meg a megmagyarázhatatlant.

A fenti viselkedésminták azért is meglepőek, mert a válaszadók többsége tudatában van annak, hogy viselkedésével veszélybe sodorja magát, mégsem tesz semmit a helyzet megoldása érdekében. A válaszadóknak csupán öt százaléka nem tudta, hogy mik a jellemzői egy erős jelszónak (kis- és nagybetűk használata, számok, speciális karakterek stb.) A válaszadók 91 százaléka azt is tudta, hogy egy-egy jelszó több helyen való felhasználása kockázatos. Egyébként az összes válaszadó 61 százaléka használ több helyen azonos vagy hasonló jelszót, míg a módszer kockázatait jól ismerők 55 százaléka.

Ennek egyik oka az lehet, hogy a válaszadók úgy nyilatkoztak, hogy nem tudnak jó jelszavakat kitalálni. Még ha be is tartják az egyes jelszóképzési szabályokat, 47 százalék felhasználja a családjában előforduló neveket vagy monogramokat. Ha számok is kellenek a jelszóba, 42 százalékuk fontos dátumokat vagy számokat használ. És persze ott vannak azok is masszív 26 százalékkal, akik háziállatuk nevét választják. Azaz egy viszonylag erősnek látszó jelszó is gy áll össze, hogy kis nyomozással minden alkotóeleme visszakereshető például az illető közösségi oldaláról.

Ami fontos, erősebb jelszót kap

A felhasználók rangsorolják a fontosság szempontjából hozzáféréseiket, és aszerint választanak hozzá bonyolultabb vagy egyszerűbb jelszót. A többségnek (69 százalék) a pénzügyi, azaz banki hozzáférése a legjobban védett. Az online vásárlási fiókokat már csak 43 százalékuk tartja kiemelten fontosnak, közösségi fiókját 31 százalék, míg a szórakozási célú hozzáférését 20 százalék.

Na de mi ebből a tanulság? Joe Siegrist, a LastPass alelnök-vezérigazgatója szerint az, hogy csak úgy lehet hatékonyabb védelmi rendszereket létrehozni, ha kiderítjük az egyének online viselkedésének okait. Ennek ismeretében létre kell hozni egy olyan rendszert, amely egyszerűbbé teszi az átlagfelhasználónak a biztonságosabb jelszóhasználati szokások kialakítását.

A kutatási összefoglaló innen tölthető le pdf-ben.