Lorsqu'on vous demande de créer un mot de passe, que ce soit pour un nouveau compte en ligne ou pour réinitialiser les informations de connexion d'un compte existant, vous êtes susceptible de choisir un mot de passe dont vous savez vous souvenir. Beaucoup de gens utilisent des mots de passe extrêmement basiques, ou un plus obscur qu'ils réutilisent sur de nombreux sites. Nos recherches ont montré que d'autres - même ceux qui utilisent des mots de passe différents pour chaque site - ont une méthode pour les concevoir, par exemple, en les basant tous sur une phrase familière et en apportant des modifications spécifiques au site.

Dans tous ces cas, les gens créent des mots de passe faibles qui sont faciles à deviner, en particulier lorsqu'ils sont confrontés à un logiciel automatisé de piratage de mots de passe qui peut tester des milliers de possibilités par seconde. L'une des raisons de cette faiblesse pourrait bien être le lien émotionnel de leurs utilisateurs avec leur routine de création de mots de passe préexistante.

Les efforts de cybersécurité encouragent souvent les gens à choisir des mots de passe plus forts, mais reconnaissent rarement l'idée que les gens ont ce sentiment d'attachement. Ils se concentrent sur l'amélioration mesurable de la sécurité sans se rendre compte qu'ils essaient de persuader les gens de passer à une méthode moins personnelle.

Tendances d'insécurité

Les mots de passe sont la clé de la cybersécurité pour les personnes et les entreprises. Un seul mauvais mot de passe peut permettre à un pirate d'accéder à tout un réseau d'ordinateurs et de serveurs de stockage de données.

Par conséquent, de nombreux systèmes informatiques obligent les utilisateurs à créer régulièrement de nouveaux mots de passe - disons, tous les 30 ou 45 jours - et exigent que chaque mot de passe contienne des lettres majuscules, chiffres et caractères de ponctuation même si les experts fédéraux déconseillent ces deux pratiques. Demander régulièrement aux gens de choisir de nouveaux mots de passe difficiles à mémoriser entraîne des effets secondaires malheureux. Les gens pourraient réutiliser un mot de passe fort sur plusieurs sites, ou ils pourraient écrire le nouveau mot de passe - ce qui n'est sûr que si vous faites confiance aux autres personnes qui ont accès à l'endroit où vous stockez l'enregistrement.

Former des personnes à la création de mots de passe sécurisés n'a pas vraiment changé la sécurité globale des mots de passe sur Internet. Les gens peuvent ne pas comprendre les risques liés aux mots de passe faibles - bien que certains experts blâment les défauts de caractère, stupidité ou simplement indifférence.

L'effet de dotation

Notre recherche a identifié une autre explication pour laquelle les gens choisissent des mots de passe faibles :les gens ont l'impression qu'ils possèdent, et sont émotionnellement attachés à, la façon dont ils créent habituellement des mots de passe. En économie comportementale, ce type de réponse est appelé effet de dotation, dans lequel les gens surévaluent tellement leurs biens existants qu'ils ne veulent pas les échanger contre d'autres articles - même si le nouvel article est meilleur ou plus précieux.

L'effet de dotation s'applique généralement aux biens physiques – et peut aider à expliquer pourquoi votre grand-mère ne veut pas acheter une nouvelle machine à laver pour remplacer celle qui date de plusieurs décennies. Notre recherche suggère que le même processus psychologique influence la façon dont les gens envisagent leurs routines de création de mots de passe.

Dans notre étude, nous avons demandé à 419 participants comment ils créaient leurs mots de passe. Beaucoup ont utilisé quelque chose qu'ils connaissaient déjà, comme un nom d'animal de compagnie ou leur propre anniversaire. D'autres avaient développé un système personnel. Ils peuvent avoir un mot de passe root, puis le personnaliser pour chaque site différent, utilisez un motif sur le clavier ou composez une phrase idiote.

Quand nous avons sondé plus profondément, nous avons constaté que les gens ressentaient un sentiment d'appartenance et de fierté personnelle à propos de leur routine de création de mots de passe. L'un d'eux a dit "Je pense que ma méthode est un bon système." En outre, nous avons constaté qu'ils surévaluaient leur propre méthode et se sentaient menacés par des suggestions selon lesquelles elle était défectueuse.

Nous avons fourni un scénario où "Terry" se moque de la routine de création de mot de passe de "Pat", et ensuite demandé aux gens comment ils pensaient que Pat réagirait. Les réponses les plus populaires étaient :devenir défensif, éviter la conversation ou s'en retirer. Tous ces éléments suggèrent qu'une critique d'une routine de mot de passe personnel était perçue comme une attaque ou une menace.

Ces réponses que nous avons trouvées s'alignaient parfaitement avec l'effet de dotation, notamment en constatant que les participants travaillaient avec l'illusion que leurs mots de passe offraient plus de protection qu'ils ne l'étaient en réalité.

Plus qu'une habitude

L'attachement que les gens ressentent pour leur méthode de choix de mot de passe est plus qu'une simple habitude. Psychologiquement parlant, une habitude est un comportement induit par un événement ou un élément de l'environnement - comme se brosser les dents avant de se coucher, se laver les mains avant les repas ou éteindre les lumières en quittant une pièce. Ils sont souvent presque automatiques, et ne nécessitent pas une décision délibérée ou beaucoup de réflexion. Quelque chose qui est une habitude semble se produire naturellement, sans qu'aucune décision délibérée ne déclenche son activation.

Le choix d'un mot de passe est différent. Cela nécessite toujours une cognition délibérée et laborieuse. C'est ce qui met en jeu l'effet de dotation. Les programmes de formation à la cybersécurité devraient inclure des informations non seulement sur la façon de choisir des mots de passe plus sûrs, mais devrait également reconnaître que les utilisateurs peuvent ressentir un sentiment de perte face au changement.

Les gens ne choisiront pas des mots de passe plus forts simplement parce qu'on le leur demande. S'ils sentent que leurs méthodes existantes sont traitées avec mépris, ils pourraient percevoir cela comme une attaque personnelle, et deviennent encore moins susceptibles d'adopter des pratiques plus sûres.

Au lieu, les experts en sécurité devraient trouver des moyens de minimiser le sentiment de perte des utilisateurs – et peut-être même les encourager à trouver une nouvelle connexion émotionnelle à une méthode de choix plus sûre.

Cet article est republié à partir de The Conversation sous une licence Creative Commons. Lire l'article original.