Utilizadores: a rejeição dos conselhos sobre segurança

(via Schneier) Cormac Herley, um investigador da Microsoft Research, publicou um paper sobre aquilo que designou como "a rejeição racional dos conselhos sobre segurança pelos utilizadores". E como achei interessante, decidi partilhar aqui nas notas. Começo pelo fim; pelas conclusões:

Given a choice between dancing pigs and security, users will pick dancing pigs every time1. Embora seja divertido, isto é injusto: nunca é oferecida segurança aos utilizadores, seja por si só, ou como uma alternativa a outra coisa qualquer. São oferecidos longos, complexos e crescentes conjuntos de conselhos, ordens oficiais, actualizações de políticas e dicas. Estes [conselhos] trazem por vezes sugestões vagas sobre redução de risco, nunca segurança. Mostrámos que muitos destes conselhos não fazem nada para dar segurança aos utilizadores, e que alguns são mesmo nocivos. A segurança não é uma coisa que é oferecida aos utilizadores e que é rejeitada. O que lhes é oferecido e que é rejeitado são conselhos complexos sobre segurança que prometem pouco e entregam ainda menos. (...)

in So long, and no thanks for the externalities: The rational rejection of security advice by users.

Dá que pensar um bocadinho, de facto. Mas não é claro, para mim, que o problema esteja a ser bem colocado. Porque fico com a dúvida se a questão está na complexidade e no volume dos conselhos... Ou seja, se a rejeição está relacionada com as recomendações, ou se está condicionada pela ausência de explicações concretas sobre as ameaças e o risco para cada indivíduo. Mas não tenho a certeza, claro. Parece-me, no entanto, que exigir a alguém que use duas ou três passwords complexas sem lhe explicar exactamente porquê, bem, é uma exigência que não vai ter uma resposta positiva, naturalmente. Mas isto dá que pensar...

(Porquê os porcos?... : ) )

1 Se lhes for dado a escolher entre porcos a dançar e segurança, os utilizadores vão escolher sempre os porcos a dançar.