We zijn de securitymaatregelen beu
Constant waakzaam zijn en almaar ingewikkelder wachtwoorden verzinnen en onthouden is te vermoeiend. Dat blijkt uit een studie van het US National Institute of Standards en Technology (NIST).
Een wachtwoord van acht tekens met minstens een hoofdletter, een cijfer en een leesteken. Een ander wachtwoord van 10 tekens met hoofdletters, cijfers en leestekens maar geen ?. of ! Dat, en een overdaad aan waarschuwingen rond cyberveiligheid leiden tot ‘security fatigue’ of beveiligingsmoeheid. We hebben na verloop van tijd gewoon geen zin om onszelf nog te beschermen, zegt het NIST in een nieuwe studie.
Wie zich nog de overijverige security alerts van wijlen Windows Vista herinnert weet het wel: te veel is nooit goed. Vaak heeft het zelfs het omgekeerde effect. Het NIST zag dat veel van zijn testpersonen bij een overdaad aan securitynieuws de geleverde waarschuwingen negeerden. “We waren niet eens op zoek naar vermoeidheid in onze interviews, maar we kregen dit overweldigende gevoel van afmatting doorheen de data,” zegt computerwetenschapper Mary Theofanos, een van de experten die de studie coördineerde.
Naast waarschuwingen, gaven testpersonen aan dat ze afgemat raakten door de vele paswoorden die ze moesten onthouden. “Een tijd terug moest je maar één wachtwoord onthouden, nu zijn dat er 25 of dertig,” aldus Theofanos. Ze zegt erbij dat velen zich ook gefrustreerd voelden door de extra beveiligingshoepels waardoor ze moesten springen om aan ‘hun spul’ te geraken op bijvoorbeeld online-bankingdiensten en andere websites. “We hebben nooit echt nagedacht over de invloed van al die uitbreidende security op de mensen zelf,” zegt Theofanos nog.
Jan met de Pet
Het NIST interviewde voor de studie een brede groep van Amerikanen van 20 tot 60 jaar, in zowel goedbetaalde als lagerbetaalde jobs. Daaruit bleek een ontstellend fatalisme met betrekking tot cyber security. Enkele van de geïnterviewden geloofden niet dat ze iets konden doen om aan een aanval te ontsnappen en legden zich dan maar neer bij het onvermijdelijke. Anderen vroegen zich dan weer af waarom een hacker achter hen aan zou gaan, gezien ze niet bij de overheid of financiële bedrijven werkten. Weinigen kenden dan ook mensen die een hack-aanval hadden verwerkt.
Ook nieuws over grote bedrijven, zoals de recente toegevingen van Yahoo, hebben hun gevolgen. Hoe kunnen gewone mensen zich beschermen als zelf grote bedrijven met een gigantisch securitybudget zich daar nog niet in slagen, was de vraag.
Dat alles leidt volgens de onderzoekers tot reacties als het vermijden van beslissingen, waarbij mensen impulsieve, makkelijke opties kiezen en niet alle veiligheidsregels volgen. De studie roept website en online diensten op om te werken aan de manier waarop zij veiligheid aanpakken, en om de druk op gebruikers te verlichten. Zo raden ze aan om de hoeveelheid beveiligingsbeslissingingen die een gebruiker moet nemen te beperken, het makkelijk te maken om de juiste optie te kiezen en waar mogelijk de beslissingen consistent te houden. “Als mensen security niet kunnen gebruiken, dan gaan ze dat ook niet doen,” zegt mede-auteur Brian Stanton nog.
Fout opgemerkt of meer nieuws? Meld het hier