12.8.09

Когнитивная психология и максимальное число паролей у пользователя

Специалисты по когнитивной психологии утверждают, что среднестатистический человек может одновременной удерживать в памяти 5 вещей, гений - 7, а человек с посредственными умственными возможностями - не более трех.

Какой отсюда следует вывод? Учитывая, что почти нет компаний, в которых работают не то, чтобы одни гении, но и просто среднестатистические пользователи, а также то, что рассчитывать всегда надо на самое слабое звено, то число паролей у пользователя ко всем системам должно не быть не более трех. В противном случае, он их перестанет запоминать и будет записывать на бумажке или в телефоне. Что же делать?

Вариантов, как минимум, три, - технология SSO, аппаратный токен или ПО для хранения паролей.

ЗЫ. Это из курса "Психология, теория организации и ИБ".

28 коммент.:

Анонимный комментирует...

Алексей, чёта я поражён. Это вы доплыли до Америки или она вдруг до вас доплыла?????

ЗЫ. Слушай, а как про телефон то верно подмечено ))) Кстати, считаю, что в этом посте не хватает пары фраз для логической завершённости. А именно какие технологии где применять, типа ссо с токенами, если работаем только с корп.системами, а всякие манагеры паролей имеют более широкое поле применения, форумы там всякие, одноклассники и прочие секс-знакомства.

biakus комментирует...

Биометрия ?

Ригель комментирует...

Брешут. Сейчас посчитал свои пароли - насчитал десять (ни один не записан, ни один не слово). Половина, правда, меняется по несложным алгоритмам, но все равно их десять. А ведь способности ниже среднего.

Ригель комментирует...

з.ы. Там нужно, видимо, разбираться, что у них имелось в виду под "вещами". Имена/фамилии - это вещи в их понимании, например? Думаю, что среднестатистический человек их четко больше пяти держит.

Анонимный комментирует...

Подтверждаю, три пароля. Не больше. Всё, что сверх того, уже влечёт риск забывания. И чем реже приходится пароль набирать, тем выше этот риск.

Dmitry Evteev комментирует...

:-)) подсчитал, в голове держу более 50 паролей к разным системам с разными привилегиями... при этом около 15 из них регулярно меняю... мммм... гении отдыхают, когда доходит дело до ИБ%))

Quiet Zone комментирует...

У меня 7 часто используемых (сменяемых) и еще 4-5 статических. Мне кажется немного не то имели в виду исследователи - по крайней мере к "одновременно удерживать" и "вещей" я бы отнесся повнимательнее. Ввод подходящего пароля - это одновременное удержание вещей? А пароли можно считать этими вещами (самостоятельной ценности пароль не имеет)?К примеру для меня ввод пароля, соответствующего конкретному ресурсу, задача не аналитическая - он как бы проассоциирован с ресурсом...сложно объяснить. ИМХО интеллектуальные способности не имеют непосредственного отношения к subj

Dmitry Evteev комментирует...

to Quiet Zone:
так что же тогда нужно понимать под этими "вещами", удерживаемыми в голове?

Алексей же, как раз по тексту подразумевает, что удерживаемые в голове "вещи" являются паролями!

"...человек может одновременной удерживать в памяти ... не более трех."
и
"Какой отсюда следует вывод? ...число паролей у пользователя ко всем системам должно не быть не более трех..."

Ригель комментирует...

А если за эквивалент вещи принять не пароль, а символ пароля (кто-то запрещает?), то SSO еще проще обосновывается ;)))

malotavr комментирует...

Ну вот, пошли памятью мериться, гении :) Вы можете помнить и менять 10, 15 или 50 паролей. Но ни один из вас - не секретарша, не бухгалтер и не аккаунт-менеджер :) А ориентироваться, увы, приходится на них.

Алексей Лукацкий комментирует...

Во! Подтверждаю слова malotavr. Ориентироваться нужно не на себя (а вы и так все гении, если понимаете, что я тут иногда пишу ;-), а на рядовых пользователей, которым вы запрещаете доступ к одноклассникам ;-)

Ригель, если твои способности считать ниже среднего, то кто же тогда я?

Dmitry Evteev: 50 паролей? Может в консерватории что-то пора менять? В Positive приходится работать с таким количеством разных систем?

biakus комментирует...

Вообще-то человек мыслит образами. Так что давайте соображать :)
Пароль должен ассоциироваться с каким-то образом. Если это белиберда, то образами являются символы пароля, как подметил уважаемый Ригель. Интересный случай с парольными фразами (жираф клюет гадюку): здесь обязателен образ алгоритма получения пароля + образы взаимодействующих объектов.

Кроме того, наша оперативная память работает около 5-20 сек (куда загружаются образы). По истечении этого времени информация поступает в кратковременное хранилище(где хранится до 5-7 дней), а затем в долговременное(от 5-7 дней до бесконечности), либо забывается если не используется. Так что пароль эта наша символьная интерпретация совокупности образов, которые мы можем загрузить в оперативную память и обработать. Поэтому приведенная закономерность скорее определяет сложность пароля, чем количество паролей.
Так что не нужно быть гением, нужно лишь правильно придумать способ запоминания образов.

А вообще (извините за нескромность), эта закономерность 7+-2 в психологии называется законом Миллера. Который был открыт еще в 1950-х годах группой психологов под руководством Миллера во время их работы по заказу ВМФ США. Кому интересно, может почитать его оригинальную работу The Magical Number Seven, Plus or Minus Two: Some Limits on Our Capacity for Processing Information.

Unknown комментирует...

помню ровно 5 паролей. (+ 3 пин кода)
Остальную сотню максимум один раз видел.

Quiet Zone комментирует...

Dmitry Evteev, я понял, что имеет в виду Алексей;) Я не знаю, что имели в виду под "вещами" исследователи. Я охотнее признал бы, что это, например, задачи. Согласитесь, помнить 5 паролей и решать 5 задач не одно и то же.

malotavr комментирует...

biakus
вы правы, но есть один тонкий момент.

В свое время пытался научить пользователей ассоциативному методу генерации паролей. Раобтает ровно 1 раз - пока им любопытно. Когда приходит время менять пароль, он у них опять Qwerty1!

Dmitry Evteev комментирует...

to Алексей Лукацкий:
>> В Positive приходится работать с таким количеством разных систем?
ну ведь использование паролей не ограничивается лишь корпоративной средой... ну а в Positive помимо корпоративной среды (а в среде + все системы, которые мы умеем сканировать) есть еще и внешняя, так что да... систем требующих аутентификации действительно много:(
to Nikita Rrrr:
В IBM приходится работать с таким малым количеством разных систем?:)
to Quiet Zone:
конечно же, я с этим согласен;)

Dmitry Evteev комментирует...

to malotavr:
>> он у них опять Qwerty1!
до тех пор, пока у пользователя не будет личной заинтересованности в защите обрабатываемой информации, он всегда будет искать самые простые пути "соблюдения режима ИБ"

Алексей Лукацкий комментирует...

У меня есть личная заинтересованность, но на ассоциативный метод меня тоже хватило только один раз ;-)

biakus комментирует...

>Qwerty1!
Как и везде, тут действует минимаксный принцип. Куда смотрит пользователь, когда его просят сменить пароль? Правильно, в голове возникает образ куска клавиатуры. А в более общем случае берется образ из долговременной памяти (год рождения, друзья, знакомые и т.п.).

Нужно ограничивать свободу выбора пароля. Только не мощностью множества алфавита и словарностью, а например, разрешить только пароли полученные генератором парольных фраз. Ну и на худой конец мотивировать конфетами :)

Узнавание на основе общего секрета неестественно для людей. В идеале нас спасет биометрия.

Ригель комментирует...

Поскольку пользователь стремится к уменьшению помещаемого в память за счет использования того, что он уже помнит, то хорошо бы, чтоб другие его знания тоже представляли собой бессмысленные наборы букв, цифр и спецсимволов.
Для начала пусть они почаще откомилированные бинарики читают, я думаю - сначала по часу в день, потом по два, потом тренировки надо увеличивать до полного рабочего дня.

Алексей Лукацкий комментирует...

Бинарники - это ты жжешь ;-) Лучше тексты на суахили или языке навахо. И языковая практика и более осмысленный набор бессмысленных слов и символов ;-)

Анонимный комментирует...

Бред. Получается, что тот, кто помнит 5-7 паролей, больше ни на что не способен. Брехня. Притянули за уши из другой области феномен и хотите тут что-то вывести. Не получится.

Скорее все таки нужно под "вещью" понимать именно задачу. Да и то нужно очень подумать, что при этом получится.

Алексей, неуж-то запомнив столько паролей, Вы не способны держать в уме еще другие вещи? Сами не чувствуете, что "за уши"?

Алексей Лукацкий комментирует...

Не чувствую. Я действительно не могу помнить несколько паролей. 3, 4, максимум 5. На гения я не тяну. А уж 50 паролей точно не запомню. И судя по имеющейся у меня статистике, не я один такой ;-) Ну а то, что у меня в голове всякой чепухи полно - это бесспорно. Как и то, что я не запоминаю много полезного ;-(

Анонимный комментирует...

А есть ли какие то исследования по тому, какое число используемых пользователями паролей в компании испольуется ими также и на публичных сайтах? Ведь каждый пользователь Интернета уже должен держать один (как минимум), два, три пароля. И это его личное, то есть на корпоративные пароли места в памяти не останется и он вынужден использовать, скажем в домене и на mail.ru один и тот де пароль.

Dmitry Evteev комментирует...

Да, подобные исследования проводили. Например: http://www.securitylab.ru/news/369944.php

Анонимный комментирует...

ак тут уже отметили - именно объектов. Тех, которыми мозг манипулирует привычно. На этом, кстати, построены некоторые мнемотехники - свернуть много разрозненных объектов до меньшего количества более "ёмких". Самый банальный пример - запоминание телефона двойками(тройками) - 111-22-22, это для мозга не 7, а 3 объекта. Забавно видеть, как "тормозит" человек, привыкший сворачивать одним способом, наткнувшись на другой (на слух особенно).

Отсюда советы для пароля выбирать цитаты, слова любимых песен и т.п.
использования боле крупных, нежели одна буква\цифра, объектов. (я намеренно не использовал слово "символ" из-за его возможнос двусмысленности)

Анонимный комментирует...

Все просто.
Исходные данные: юзер ответственно соблюдающий политику безопасности в части периодической смены паролей и использования разных паролей на разных сервисах; его любимая соцсеть; фишер, заманивший просточка на свой сайт.

Юзер вводит пароль... и не открывает профиль! Что будет делать среднестатистический юзер? Правильно, введет пароль еще пару раз, не добившись результата начнет судорожно перебирать все используемые им пароли, старые пароли, новые пароли на других сервисах, менять логины и так достаточно долго. Да еще если ему никак не будет приходить письмо с новым паролем от аккаунта!...

В итоге: У фишера имеется большинство рабочих и устаревших паролей и логинов от разных сервисов потерпевшего... Тут можно и сжалиться над юзером и редиректнуть таки на его страничку в однокласниках...

Много паролей? Чепуха!

Анонимный комментирует...

В вашей (нашей) среде появился ЛУЗЕР (правильно выразился?).
Почитал тут комменты и поразился знанием жаргона и вааще. :)
А вот скажите мне уважаемые профи - как восстановить пароль к майлу, если на почти все правильные ответы по анкете восстановления пароля приходят отписки (содержание - штамп) - не хватает типа данных.
Каких? И ведь не достучаться. Но пароль то я помню. (Записан)).
Что у них нет данных старых паролей?
Впрочем, я отвлекся от темы. А у меня один пароль 01236987410, а остальное по расписанию)).