Сергей Эгельман | Семинар премии Норма Харди 2024

Сергей Эгельман | Семинар премии Норма Харди 2024

Изображение носит иллюстративный характер

Здравствуйте всем. Добро пожаловать в международную версию группы Форсайта. Я очень рад сегодня открыть серию семинаров этого года церемонией вручения премии Норма Харди. Это церемония премии Норма Харди не за 2025 год, а за 2024 год. Эта премия присуждается уже третий год, хотя в прошлом году она присуждалась во второй раз. Сегодня с нами даже присутствуют несколько инициаторов этой премии, включая Марка Миллера, Дина Трабла и еще нескольких человек, в том числе Элеонору. У нас собралась действительно отличная публика, и определенно те люди, которые внесли значительный вклад в учреждение этой премии.

Премия присуждается за работы в области пользовательской безопасности (usable security) и призвана поощрять больше людей работать над этой проблемой и размышлять о ней. Она специально направлена на то, чтобы сделать уже существующие, возможно, безопасные системы безопасными в процессе их использования. Думаю, это проблема, которую довольно часто упускают из виду. В этом году мы невероятно горды вручить эту премию вам. У нас уже была возможность очень кратко встретиться с вами и фактически вручить физическую награду, но, на мой взгляд, у вас действительно интересный подход к решению этой проблемы, который заключается в использовании склонности людей откладывать дела на потом. Тем не менее, вы используете оборудование и устройства, чтобы фактически побудить их повысить свою безопасность.

Вы сможете рассказать об этом гораздо лучше, чем я, но от имени всех сотрудников Форсайта я просто хочу поздравить вас с получением премии. В этом году отбор был довольно конкурентным. Большое вам спасибо за вашу работу. Сегодня мы очень рады услышать то, чем вы готовы поделиться. Спасибо. Приятно находиться здесь, и для меня большая честь получить эту награду. Что ж, думаю, мы сразу приступим. Речь пойдет об одной конкретной работе, в которой мы исследовали механизмы приверженности (commitment devices) для улучшения принятия решений в области безопасности. Чуть позже я углублюсь в то, что все это означает. Но на самом деле этот доклад посвящен более широкому контексту того, как мы пришли к этому исследованию, и некоторым нашим ранним работам, которые подвели нас к нему и послужили его основой.

Поскольку, насколько я понимаю, частью премии было признание теории разума, я хотел включить ряд справочных материалов о том, как мы двигались в этих различных направлениях. В начале, оглядываясь назад, меры по смягчению угроз безопасности никогда не разрабатывались с учетом пользователей. Обучение было дорогим и часто неэффективным. Принятие решений в области безопасности часто рассматривалось как нечто само собой разумеющееся. Естественно, это приводило к низкому уровню соблюдения многих мер безопасности, таких как игнорирование предупреждений, непонимание необходимости использования надежного пароля или неприменение обновлений программного обеспечения. За последние 30 лет были проведены работы, показывающие, почему это является проблемой, и теперь пользовательская безопасность выросла в отдельную подобласть.

Первая статья, которая приходит мне в голову, была написана еще в 1996 году, но затем в течение следующего десятилетия пользовательская безопасность превратилась в самостоятельное сообщество как в области безопасности, так и в области взаимодействия человека с компьютером. И теперь мы разрабатываем вещи с учетом пользователя. Так как же это выглядит? Средний пользователь — 33-летний человек с одним яичком и одним яичником. Очевидно, это шутка. Смысл в том, что никто на самом деле не соответствует определению «среднего пользователя». И именно поэтому я утверждаю, что многие решения в области безопасности неоптимальны, потому что вместо этого мы пытаемся угодить этому вымышленному среднему пользователю, который на самом деле не существует и не соответствует профилю большинства реальных людей.

В результате проблемы остаются. Раньше пользователи видели предупреждения безопасности в браузере, которые выглядели примерно так. На самом деле люди воспринимали это как всплывающее окно, говорящее, что что-то произошло и нужно нажать «ОК», чтобы убрать это предупреждение, которое мешает им делать то, что они пытаются сделать. Там было много жаргона, который не помогал людям принять лучшее решение. Они могли нажать другую кнопку, чтобы прочитать еще больше жаргона, что тоже не особо помогало. Очевидным решением было просто нажать кнопку «ОК» и продолжить свои действия. Ситуация улучшилась. Были предприняты целенаправленные усилия по улучшению таких предупреждений, чтобы лучше объяснять модели угроз и усложнить совершение небезопасных действий.

Например, в браузере Firefox, очевидная опция «Уйти отсюда» требует нескольких дополнительных шагов для обхода предупреждения и посещения сайта. Таким образом, добавлено «трение». Это улучшение, но гипотеза, лежащая в основе всей этой работы, заключается в том, что текущие решения в области пользовательской безопасности дадут лишь локальные максимумы, если они учитывают поведение человека только в совокупности, потому что ни один человек не соответствует этому определению идеально. В то время как мы можем начать оптимизировать меры по смягчению угроз безопасности, адаптируя их к индивидуумам, а не к среднему пользователю. Это делается в маркетинге уже полвека. Таргетирование проводилось по географии, по демографии, по предшествующему поведению, даже психографическое таргетирование.

Это, кстати, было одним из источников вдохновения для всей этой исследовательской повестки около десяти лет назад. Я читал статью о том, как политические кампании использовали психографические тесты для таргетирования людей различными типами рекламы на основе их личностных черт. И это в некотором роде вдохновило меня рассмотреть возможность использования этого «во благо» вместо манипулирования людьми иным способом. Поэтому есть причина, по которой большинство присутствующих здесь не видят по телевизору рекламу детских сухих завтраков. У вас нет детей, которые смотрят передачи, предназначенные для детей. Это потому, что такая реклама полностью таргетирована. И это происходит в разных аспектах жизни. Фрейминг – еще один важный аспект. Различные черты характера влияют на то, как люди интерпретируют предоставляемую им информацию.

Например, психологические исследования показали, что люди с низкой нумерацией (трудности с мышлением в числах) по-разному воспринимают продукты, о которых говорят, что они содержат "95 процентов жира», "95 процентов обезжиренные» или "5 процентов жира». Человек с низкой нумерацией воспримет первый вариант гораздо более благоприятно, чем второй или третий, хотя они описывают одно и то же. Таким образом, такой фрейминг влияет на принятие решений. Итак, мы решили рассмотреть это в контексте мер по смягчению угроз безопасности и того, как их можно таргетировать в зависимости от индивидуальных различий. Вот пример. Это старое предупреждение браузера Firefox, которое объясняет угрозу безопасности и предлагает варианты, но его можно было бы адаптировать.

Например, для людей с высоким показателем «потребности в познании» – черты, по сути, количественно оценивающей любознательность. Возможно, для таких людей достаточно просто объяснить модель угрозы в понятных им терминах. Они могут отреагировать более благосклонно. Другой пример: для людей импульсивных можно принять иные дизайнерские решения. В этом случае опция «игнорировать» затемнена и вынуждает людей подождать определенное время. По сути, это предотвращает их импульсивное решение немедленно закрыть предупреждение. Возможно, за это время, пока они вынуждены ждать, они станут менее импульсивными, прочтут сообщение и обдумают его. Еще один аспект — зависимость. Зависимость — это еще одна черта, связанная с принятием решений, при которой люди с высокой зависимостью, по сути, ориентируются на мнение других при принятии решений.

Возможно, предупреждение для людей с высокой зависимостью могло бы быть сформулировано так: «эксперты по безопасности считают, что вам следует поступить так». Возможно, это было бы более убедительно для людей с такой чертой принятия решений. «Рассмотрение будущих последствий» — еще одна хорошо изученная черта в психологической литературе. По сути, она описывает, насколько дальновидны люди в плане последствий. Это достаточно самоочевидно. Опять же, возможно, разговор о будущих последствиях этих решений может быть убедительным для людей с этой чертой.

С чего мы начали со всем этим?

Первым шагом было определить, как мы должны сегментировать пользователей, если хотим таргетировать разных людей разными мерами по смягчению угроз безопасности. Нам нужен способ определить, какие черты с наибольшей вероятностью будут эффективны с точки зрения таргетирования.

Или, скорее, как мы должны адаптировать эти меры на основе такой сегментации? Я привел всего несколько возможных примеров. Мы решили изучить это подробно. Итак, сначала мы рассмотрели несколько различных показателей черт характера из психологической литературы, которые могут быть связаны с различными решениями в области безопасности. Большинство людей, изучавших вводный курс психологии, вероятно, знакомы с чертами личности «Большой пятерки». Это очень грубый способ измерения черт. Мы решили использовать это как отправную точку. Мы обнаружили, что они на самом деле не предсказывают ничего существенного в отношении принятия решений в области безопасности. Поэтому мы обратились непосредственно к литературе по принятию решений, где существует множество различных психометрических шкал для тестирования множества возможных черт.

Мы проанализировали их, чтобы выдвинуть гипотезы о том, какие из этих черт могут влиять на то, как люди принимают решения в области безопасности. Потребность в познании, о которой я говорил ранее, стиль принятия решений (есть несколько подшкал: люди, принимающие рациональные решения, или избегающие принятия решений, или насколько они ориентируются на мнение других, или насколько они принимают решения интуитивно или спонтанно) — все это измеримые черты. Есть шкалы для оценки склонности к риску, а также импульсивности. Я уже упоминал рассмотрение будущих последствий. Мы провели несколько экспериментов с опросами и увидели, что эти черты коррелируют с шкалами отношения к конфиденциальности. В литературе есть несколько таких шкал. Если отступить назад и рассмотреть шкалы отношения, то в целом отношение предсказывает поведение.

В большинстве случаев намерение действовать является предпосылкой к поведению. Поэтому, если люди не выражают готовность действовать, крайне маловероятно, что они предпримут какие-либо действия. Мы использовали это как отправную точку. Кроме того, использование различных шкал и анализ корреляций между различными чертами позволяет нам быстро проверить множество различных шкал, потому что мы, по сути, проводим опросы, а не контролируемые эксперименты с различными средами, которые пришлось бы создавать. Рассматривая ряд таких шкал, мы встретили индекс Вестона (Weston index). Это шкала из литературы, широко используемая в течение нескольких десятилетий. Она классифицирует людей как «фундаменталистов конфиденциальности», «прагматиков» или «незаинтересованных».

Мы обнаружили, что он не очень предсказуем, и есть литература, показывающая, что индекс Вестона вообще не предсказывает решения в области конфиденциальности. В литературе есть и другие шкалы, которые, как мы обнаружили, являются предиктивными. Я не буду подробно останавливаться на них. Как я уже сказал, черты личности «Большой пятерки», по нашим данным, не коррелировали ни с чем из этого.

А что насчет отношения к безопасности?

К моменту, когда мы начали эту работу около 10 лет назад, не существовало стандартных метрик для оценки отношения к безопасности. И опять же, мы хотели изучить отношение к безопасности, потому что это предпосылка к действию. Путем тестирования отношения людей или попыток понять, как мы можем на него повлиять, мы, вероятно, сможем добиться изменения поведения. Поэтому мы решили разработать такую шкалу отношения к безопасности, поскольку таковой не существовало.

Сергей Эгельман | Семинар премии Норма Харди 2024

Существует много литературы о том, как правильно построить шкалу. Нельзя просто взять и построить новую шкалу. На самом деле это довольно строгий процесс, в ходе которого необходимо четко определить, что вы измеряете, придумать возможные пункты (что, по сути, означает вопросы опроса), а затем уточнить их, измерив несколько различных статистических свойств, и провести валидацию. Я кратко остановлюсь на этом. Мы хотели измерить самооценку пользователей относительно соблюдения хороших правил безопасности. Мы задавали людям вопросы о правилах безопасности, которым они следуют, и спрашивали, как часто они это делают. Но возникает вопрос: какие из этих правил на самом деле важно измерить? Мы кратко изучили советы, которые можно найти в Интернете относительно хороших практик безопасности для пользователей.

В то время мы смотрели на рекомендации US-CERT, которые содержали более 500 пунктов, что, очевидно, абсурдно. Большинство конечных пользователей не будут выполнять все эти разные действия. Они хотят, чтобы им сказали небольшое количество вещей, которые они могут сделать, чтобы оставаться в безопасности в Интернете, не заучивая сотни возможных поведенческих изменений. Некоторые крупные предприятия, а также крупные интернет-провайдеры, также давали рекомендации, например, Verizon предлагал четыре пункта. Мы собрали все советы, которые смогли найти в Интернете, сгруппировали их и, по сути, оценили, какие советы действительно важны. В итоге мы получили список из около 30 хороших правил безопасности, которые, по нашему мнению, применимы к широкому кругу различных конечных пользователей. Мы также хотели сформулировать их в терминах намеренного поведения, а не предпочтений.

Существует разница между вопросом о том, признают ли люди что-то хорошим, и вопросом о том, намерены ли они фактически это делать. Используя эти 30 хороших правил безопасности, мы просили людей ответить по 5-балльной шкале от «полностью согласен» до «полностью не согласен». Затем, после разработки шкалы, мы смогли использовать полученные данные об отношении к безопасности для корреляции с различными личностными чертами, чтобы увидеть, какие черты на самом деле влияют на поведенческие намерения. Некоторые примеры пунктов, которые мы включили: «Я устанавливаю обновления программного обеспечения, как только мой компьютер предлагает это сделать». Люди отвечали по шкале от «полностью согласен» до «полностью не согласен» на вопросы о том, часто ли они делают резервные копии компьютера, игнорируют ли предупреждения безопасности.

В основном, мы смотрели, демонстрировал ли каждый из этих пунктов высокую дисперсию. Низкая дисперсия означает, что это плохой показатель для сегментации, потому что все отвечают примерно одинаково. Желательное свойство — высокая дисперсия, чтобы можно было сегментировать разные группы людей. Частью этого является поиск эффекта пола и потолка. Если все отвечают "5" по шкале для определенного пункта, это означает, что он универсально воспринимается как нечто хорошее, и, следовательно, это плохой показатель для сегментации. Мы переформулировали различные пункты и итеративно перепроверяли их, чтобы убедиться в этих свойствах. В то время мы проводили это на платформе Mechanical Turk, поэтому было легко опросить сотни, даже тысячи участников с каждой итерацией.

Каждый раз у нас были различные психометрические шкалы для оценки их возможной корреляции. Одна шкала, которую мы использовали неоднократно, — это шкала социальной желательности. Она позволяет понять, отвечают ли люди так, потому что они на самом деле так думают, или потому, что считают, что мы хотим, чтобы они так ответили. Мы обнаружили, что в большинстве случаев это не оказывало существенного влияния. И для одного пункта, где это влияние наблюдалось, оно объясняло очень небольшой процент дисперсии, поэтому мы пришли к выводу, что социальная желательность, по-видимому, не оказывает значительного искажающего эффекта на шкалу. Я пропущу некоторые детали. Мы удалили ряд пунктов из-за их неприменимости, неоднозначности или из-за того, что они пересекались с вопросами конфиденциальности и не касались безопасности.

Мы много переформулировали и итеративно повторяли исследование. Опять же, в разных итерациях участвовали пара тысяч человек. В итоге мы пришли к 24 пунктам. Затем мы уточнили их. Мы использовали факторный анализ, чтобы выявить различные факторы. В результате мы смогли выделить четыре разных фактора, на которые элегантно разделились пункты, о чем я сейчас расскажу. Факторы следующие: обеспечение безопасности устройства — это шаги, которые люди предпринимают для защиты своих устройств, например, использование экрана блокировки, когда они отходят, или блокировка мобильного устройства. Намерения по генерации паролей — относится к тому, стараются ли люди соблюдать гигиену паролей, меняя скомпрометированные или используя надежные пароли.

Проактивная осведомленность — по сути, насколько часто люди пытаются выявлять угрозы безопасности, например, устанавливают или обращают внимание на другие признаки неблагоприятной ситуации с безопасностью. И четвертый фактор — обновления: насколько оперативно люди обновляют программное обеспечение по запросу. Затем мы провели подтверждающий анализ, набрав еще больше участников, и обнаружили, что шкала очень надежна. Используя ее, мы изучили различные психометрические черты, чтобы определить, какие из них могут предсказывать хорошие намерения в области безопасности. Вот таблица корреляций, где представлены только статистически значимые корреляции. Например, «потребность в познании» коррелировала со всеми разными подшкалами. По сути, люди, которые любознательны, с большей вероятностью будут следовать хорошим правилам безопасности по всем четырем направлениям.

Это контрастирует с людьми, склонными к избеганию решений. Люди, у которых высокий показатель откладывания решений, скорее всего, будут иметь низкие намерения в области безопасности по всем четырем подшкалам. Таким образом, это стало инструментом для быстрой оценки того, как различные психометрические черты могут влиять на принятие решений в области безопасности. В последующем исследовании мы хотели проверить, действительно ли это предсказывает поведение. У нас было несколько гипотез. Одна гипотеза, касающаяся подшкалы осведомленности, заключалась в том, что пользователи, использующие строку URL для идентификации потенциальных фишинговых веб-сайтов, будут иметь более высокие показатели по подшкале осведомленности, чем пользователи, которые этого не делают.

Аналогично, для подшкалы паролей: пользователи, создающие пароли, которые не могут быть легко взломаны, будут иметь значительно более высокие показатели по подшкале паролей, чем пользователи, пароли которых могут быть взломаны. Чтобы проверить это, мы провели еще несколько экспериментов. Мы набрали больше работников на Mechanical Turk для прохождения психометрических шкал. Чтобы разнообразить утомительное нажатие множества «пузырьков» в опросах с множественным выбором, мы показывали им скриншот веб-сайта с полем для ввода текста и просили просто описать показанный веб-сайт. Было несколько легитимных сайтов, а среди них — один, который (если посмотреть на строку URL) был фишинговым. Через две недели мы пригласили этих людей снова, чтобы они прошли нашу шкалу намерений в области безопасности.

Мы хотели сделать это не одновременно со сбором данных о реальном принятии решений в области безопасности, так как это могло бы исказить результаты. Мы анализировали корреляцию между наблюдаемым поведением людей и их результатами по шкале. Из более чем 700 человек, участвовавших в этой части эксперимента, только 22 правильно определили фишинговый веб-сайт. Однако баллы этих людей по подшкале осведомленности были настолько выше, что это оказалось статистически значимым. Это огромный размер эффекта, и он показывает, что шкала действительно предсказывает это поведение. Что касается паролей, мы сказали участникам этого исследования, что между первой частью и последующей через две недели, когда они проходили шкалу, им нужно установить пароль, чтобы они могли вернуться. Университет Карнеги-Меллон (CMU) предлагает сервис для проверки угадываемости паролей.

Я не знаю, существует ли он до сих пор, но туда можно загрузить список хешей, и он покажет, сколько из них можно взломать. У них есть группа, которая проводит много исследований по взлому паролей, и они создали этот сервис, используя все свои методы. Мы обнаружили, что около 15% паролей, созданных для этого исследования, нельзя было легко взломать. Опять же, был эффект средней величины: люди, чьи пароли было сложно взломать, имели значительно более высокие показатели. Это снова показывает, что подшкала паролей довольно хороша. Относительно подшкалы обновлений, гипотеза заключалась в том, что пользователи, которые оперативно устанавливают обновления программного обеспечения, будут иметь значительно более высокие показатели по шкале обновлений, чем пользователи, которые откладывают их.

Чтобы проверить это, мы просто посмотрели на строку User-Agent в браузере. Мы настроили отдельный код для задания, который был доступен только пользователям Mac. Мы провели это через три недели после выхода OS X 10.11. Используя строку User-Agent, мы могли увидеть, какой процент участников уже обновился на основе подсказок, которые операционная система должна была им показать в то время. Мы обнаружили, что 24% пользователей обновились. И опять же, это коррелировало с нашей шкалой обновлений: те, у кого были высокие намерения обновиться, значительно чаще реально обновляли свое программное обеспечение. И наконец, обеспечение безопасности устройства. Пользователи, использующие безопасные экраны блокировки на смартфонах, будут иметь значительно более высокие показатели по шкале обеспечения безопасности, чем пользователи, не использующие безопасные экраны блокировки.

Для этого мы использовали панель, работающую на базе Университета Буффало. Они поддерживали кастомную версию Android и имели пару сотен человек, которые согласились на установку исследовательских инструментов на свои телефоны для участия в исследованиях. Мы использовали эту панель и делали это полностью пассивно. Мы просто использовали наш доступ к их телефонам, чтобы увидеть, кто использовал экран блокировки на своем мобильном устройстве, а кто нет, а затем сравнили это с их баллами по шкале. И снова, эффект был значимым. Это показывает, что намерения, зафиксированные опросом, по-видимому, коррелируют с поведением в области безопасности, а также с различными психографическими показателями черт характера, которые мы исследовали ранее.

Следующим шагом было выяснить, как мы можем теперь, когда увидели, что эти различные психографические показатели коррелируют с намерениями в области безопасности, которые, в свою очередь, коррелируют с поведением в области безопасности, наилучшим образом таргетировать меры по смягчению угроз. Я только что сказал это. Одним из направлений применения, которое мы решили исследовать, были «подталкивания» (nudges) при выборе пароля. Мы провели онлайн-эксперимент, в котором просили людей сыграть роль пользователя, входящего в свою электронную почту. Мы создали типовой веб-сайт электронной почты, где люди должны были установить пароль для новой учетной записи. Мы решили изучить различные «подталкивания», которые уже были опубликованы в литературе по паролям.

Было несколько статей о различных «подталкиваниях» при выборе паролей с разными результатами. Многие из них были очень неэффективными. Одна из наших гипотез заключалась в том, что, возможно, причина неэффективности некоторых из этих «подталкиваний» в том, что они показывались всем подряд, вместо того чтобы показывать определенные «подталкивания» людям, которые, по нашей гипотезе, наиболее вероятно поддадутся их влиянию, основываясь на их чертах принятия решений. Итак, мы решили реализовать пять различных вариантов. Один заключался в использовании простого индикатора надежности пароля. Другой — в социальном фрейминге, объясняющем людям, что их пароль надежнее, чем у X процентов других пользователей. Еще один — просто предложение подсказок о том, как сделать пароль надежнее.

Был вариант с количественной оценкой слабых сторон пароля, показывающий битовую силу или предполагаемое количество попыток, необходимых для взлома пароля. Мы предполагали, что это может коррелировать с людьми с высоким показателем нумерации: количественная оценка надежности пароля может помочь им лучше это понять. И наконец, вариант с "correct horse battery staple", который по сути взят из этого мультфильма xkcd, где предлагалось создавать надежные пароли, группируя несколько случайных слов вместе, чтобы они были более запоминающимися. Мы оценили этот метод, и другая группа также его оценила, обнаружив, что для этого на самом деле нет никаких оснований. Пароли на самом деле не надежнее, и неясно, более ли они запоминающиеся. Тем не менее, участники исследования сталкивались с этим веб-сайтом.

Независимо от того, какой пароль они вводили изначально, в контрольной группе мы показывали всем одно и то же сообщение: «Пароль, который вы выбрали на предыдущей странице, слаб. Пожалуйста, выберите более надежный пароль ниже». Таким образом, независимо от того, какой пароль они изначально ввели, все получали это сообщение. Однако на следующем экране, когда мы просили их попробовать еще раз, у нас было несколько условий. Была контрольная группа без «подталкивания», а затем различные экспериментальные условия. Вот «подталкивание» с индикатором, где мы показали графическое представление. Вот социальное «подталкивание»: мы говорим, что пароль слабее, чем у X процентов других пользователей. Вот подсказки для усиления. Была количественная оценка времени, необходимого для взлома.

Сергей Эгельман | Семинар премии Норма Харди 2024 (окончание)

"Correct horse battery staple" — еще один вариант, где мы давали им четыре случайных слова в качестве примера. Причина, по которой в начале мы говорили им, что независимо от введенного пароля он слаб, заключалась в небольшой обеспокоенности, что если бы мы просто дали им экспериментальное условие сразу, многие люди просто ввели бы пароль, который они используют везде. Чтобы предотвратить такое поведение, мы в начале сказали им, что независимо от того, что они ввели, их пароль слаб, и им нужно попробовать еще раз. В дополнение к этому, мы предлагали участникам пройти наши батареи психометрических тестов — те, которые, как мы обнаружили, коррелировали с поведением в области безопасности. Это было сделано, чтобы увидеть, могут ли люди с разными чертами характера по-разному воспринимать эффективность разных условий «подталкивания».

Один из полученных результатов заключался в том, что во всех условиях, включая контрольную, второй введенный пароль был более надежным, чем первый, после того, как им сказали, что первый пароль слаб и нужно выбрать другой. Это показывает, что даже само по себе «подталкивание» (сообщение о необходимости выбрать новый пароль) было эффективно. Если бы мы не включили эту дополнительную контрольную группу, мы могли бы не понять, была ли эффективна суть «подталкивания» или просто факт наличия любого «подталкивания», говорящего о необходимости выбрать новый пароль. Так что наше решение создать эту дополнительную контрольную группу оказалось полезным. Мы также обнаружили, что черты характера предсказывали эффективность «подталкиваний» в определенных случаях.

Участники с низкой нумерацией создавали более слабые пароли в ответ на количественную обратную связь. Люди с высоким показателем нумерации, рациональностью и высокой потребностью в познании также хорошо реагировали на количественную обратную связь. Участники, склонные к зависимому принятию решений, создавали более слабые пароли в социальном условии. Мы подтвердили эти результаты, по сути, повторив весь эксперимент с новой группой участников. Однако на этот раз мы сначала провели психометрическое тестирование, чтобы затем целенаправленно применять к ним определенное условие, основанное на их чертах, которое, по нашему мнению, с наибольшей вероятностью приведет к оптимальным результатам для этого человека. Мы сделали это для половины участников.

Сергей Эгельман | Семинар премии Норма Харди 2024

На самом деле, я думаю, мы сделали это для трети участников. Треть находилась в контрольной группе, где мы просто сказали выбрать новый пароль без какого-либо «подталкивания». Было оптимальное условие, которое я только что описал, где мы таргетировали «подталкивание», которое, как мы предполагали, будет наиболее воспринято данным человеком, основываясь на его чертах. Но мы также решили случайно таргетировать некоторые «подталкивания» на других участников. Результаты показали, что оптимальное таргетирование привело к статистически значимому эффекту, в то время как случайное применение «подталкивания» привело к некоторому улучшению, но оно было субоптимальным. Вот график взаимодействия, показывающий разницу. Это подводит меня к текущей работе, основанной на изучении различных аспектов принятия решений.

Помимо того, что различные меры по смягчению угроз могут быть некорректно нацелены на людей, еще один психологический эффект, который часто возникает и мешает людям принимать хорошие решения в области безопасности, — это «предвзятость к настоящему моменту» (present bias). Часто, независимо от формулировки сообщения, если оно появляется в неподходящий момент, люди могут просто его проигнорировать. Пользователей просят сделать то, что они могут признавать хорошим поведением в области безопасности, но поскольку их попросили не в подходящее время, они откладывают это и затем вовсе забывают сделать, даже если изначально намеревались поступить правильно. Для смягчения этого были предприняты некоторые попытки. К моменту, когда мы начали это исследование несколько лет назад, многие основные операционные системы начали включать сообщения об обновлениях, где вместо «обновить сейчас», «ОК» или «отмена» появилась опция «позже» вместо полной отмены.

Мы хотели проверить, насколько это эффективно снижает «предвзятость к настоящему моменту» и существуют ли определенные психометрические черты, которые могут предсказывать, насколько люди восприимчивы к такому «подталкиванию». Поскольку в то время, когда мы начали это исследование, люди привыкали к таким сообщениям в отношении обновлений ОС, мы не хотели тестировать именно это. Вместо этого мы решили протестировать поведение, связанное со сменой пароля, поскольку в то время это было, вероятно, менее привычным. Сейчас многие современные веб-браузеры делают это: когда вы вводите пароль, сохраненный во встроенном менеджере паролей, они часто проверяют его по спискам утечек данных, предупреждают пользователей о том, появлялся ли их пароль в утечках, и предлагают его сменить.

Мы решили добавить опцию отсрочки к этому функционалу, чтобы проверить, приведет ли это к тому, что люди действительно будут менять свои пароли чаще, чем когда вариант был только «сменить пароль сейчас» или «отклонить сообщение». И снова, обратившись к психологической литературе, мы решили, что «механизмы приверженности» (commitment devices) могут быть хорошим способом улучшить безопасность. Было много предшествующей литературы о «механизмах приверженности», поэтому мы подумали, что это может быть хороший подход к улучшению безопасности. Несколько примеров: мягкие обязательства, такие как покупка абонемента в спортзал. Например, люди могут купить годовой абонемент, чтобы заставить себя ходить в спортзал, чтобы не тратить деньги зря. Были исследования о том, как люди дают обещания или клятвы.

Результаты были смешанными. На самом деле, это было в центре внимания кризиса репликации в области принятия решений, а также некоторых случаев мошенничества. Было несколько исследований об «обязательствах честности» — приводит ли требование подписать обязательство честности к более честному поведению. Результаты были смешанными: были как положительные репликации, так и неудачи в репликации. Итак, мы решили исследовать, применимо ли это к безопасности. Мы выдвинули несколько гипотез для проверки. Гипотеза 1: опции, позволяющие людям отложить смену скомпрометированного пароля, снизят их возражение против смены пароля. Гипотеза 2: участники, которые при наличии опции отсрочки решают отложить смену скомпрометированного пароля, будут более готовы сменить пароль, когда им будет предоставлена такая возможность позже.

То есть, когда опция «позже» присутствует, люди, выбравшие ее, вероятно, в какой-то момент в будущем сменят пароль. Другой вариант этой гипотезы: при наличии опции отсрочки они с большей вероятностью сменят пароль, когда им явно напомнят, что ранее их спрашивали об этом, и они сказали, что сделают это позже. Еще одна гипотеза: напоминания могут быть более привлекательными и более эффективными в снижении возражений участников по сравнению с обязательствами. Просто напоминание. Возможно, это эффективнее, чем говорить людям: «Вы ранее сказали, что собираетесь это сделать, почему вы до сих пор этого не сделали?» А альтернативная гипотеза — обратная: возможно, обязательства будут более эффективными. Итак, мы решили проверить все это, проведя еще одно онлайн-исследование, где набирали участников для ролевой игры.

Снова мы сказали им представить, что они вошли в учетную запись электронной почты и получили сообщение о том, что пароль обнаружен в утечке данных и им нужно сменить пароль. Затем мы предложили им несколько различных вариантов. Мы провели три разных эксперимента. В первом раунде было четыре условия. В контрольном условии варианты были только «сменить пароль сейчас» или «больше не спрашивать», то есть они могли либо сменить пароль, либо отклонить сообщение. Условие «отсрочка» добавило третью опцию к этим двум из контрольного условия. В условии «отсрочка» говорилось «сменить пароль завтра». В условии «напомнить» говорилось «напомнить мне сменить пароль завтра». А в условии «обещание» — «я обещаю сменить пароль завтра». Мы провели два последующих эксперимента, в которых немного изменили формулировки.

Я остановлюсь на этом чуть позже. Мы обнаружили, что с точки зрения их намерений изменить пароль (опять же, это ролевая игра, это самоотчет). Мы спрашивали, насколько вероятно, что они сменят пароль, сменят ли они его, какую опцию они выберут, исходя из увиденного сообщения. Мы обнаружили, что в контрольном условии, где варианты были «сейчас» или «вовсе нет», было примерно поровну: 55% сказали, что сделают это сейчас, 45% — что не будут делать вовсе. Интересным оказалось то, что добавление других опций для откладывания не уменьшило процент участников, готовых сделать это сейчас. Одной из гипотез могло быть, что, предлагая варианты сделать это позже, некоторые люди, которые иначе сделали бы это сейчас, соблазнятся отложить. Мы обнаружили, что этого на самом деле не произошло.

И мы наблюдали это во всех трех экспериментах, где мы реплицировали это, тоже. Вместо этого происходило то, что гораздо меньше людей говорили... Гораздо меньше людей сказали, что не будут делать этого вовсе. Вместо этого, та группа, которая в контрольном условии составляла 45%, две трети из них переключились на то, чтобы сказать, что они сделают это в какой-то момент в будущем, вместо того чтобы полностью проигнорировать предложение. И эта разница была статистически значимой. Таким образом, вывод заключается в том, что добавление опции отсрочки уменьшает полный отказ. Конечно, это самоотчет. Мы показываем им скриншот и спрашиваем, какую кнопку они нажмут. Соответствует ли это тому, что они на самом деле сделали бы в реальном мире? Чтобы приблизиться к этому, мы немного изменили эксперимент.

В эксперименте 2 мы немного переформулировали контрольное условие. Варианты были «сменить пароль сейчас» или «не менять», а три другие опции остались такими же, как в эксперименте 1. Однако мы добавили еще одно изменение: они выполнили ряд психометрических шкал. По двум причинам: во-первых, чтобы мы могли посмотреть корреляции с намерением поведения, с поведенческими намерениями, чтобы увидеть, предсказывают ли эти разные черты поведение. Но также, как вспомогательное задание, чтобы отвлечь их от основного задания с веб-почтой. Они потратили пару минут на заполнение этих шкал. Затем мы показали им новый экран с фейковой веб-почтой и сказали: «Представьте, что прошел день». Мы, по сути, показали им то же сообщение, которое они видели изначально, говорящее, что их пароль скомпрометирован, и спрашивающее, хотят ли они сменить его сейчас, и те же четыре условия.

Итак, мы обнаружили, что реплицировали первый результат: при первоначальном выборе мы обнаружили, что в целом наличие опций отсрочки не уменьшило количество людей, готовых сделать это сейчас. Да, если посмотреть на график, в контрольном условии было 60 процентов, а в условии «обещание» — около 55, в условии «напомнить» — 52, но это не было статистически значимым. Однако это показывает второй выбор: по сути, во второй раз, когда мы говорим им, что прошел день, были ли они более склонны сменить пароль в этот момент времени? И мы, на самом деле, обнаружили, что гораздо больше людей были готовы сменить пароль после того, как им напомнили, что они ранее видели сообщение и сказали, что сделают это в будущем.

И если бы мы обнаружили то же самое с условием «обещание», то есть обещания и напоминания действительно влияют на самоотчет о готовности менять пароли в будущем. Затем это подводит меня к эксперименту 3. Мы фактически удалили условие «отсрочка» и сосредоточились только на «обещании» и «напоминании». С новой группой из более чем тысячи участников мы снова реплицировали первый результат. И также показали, что снова, когда фактически прошел день (это было еще одно изменение в третьем эксперименте, где мы действительно ждали 24 часа, а затем снова отправляли им сообщение, просили вернуться на веб-сайт, показывали те же сообщения, напоминали им, дали ли они обещание или просто получили напоминание, или в случае с контрольным условием мы просто снова показывали то же сообщение).

Мы обнаружили, что обещания и напоминания были статистически значимы в заявленной готовности участников сменить пароль днем позже. Таким образом, вывод из всего этого заключается в том, что «механизмы приверженности», по-видимому, эффективны в повышении готовности к действию. Это не происходит за счет немедленных действий. Разница между напоминаниями и обещаниями по-прежнему неясна. Мы видели значимые эффекты во втором эксперименте, но не в третьем, и если эффект и есть, то он, вероятно, довольно маленький. Но в целом, этот объем работы показывает, что соблюдение мер по смягчению угроз безопасности можно улучшить путем разработки «подталкиваний», учитывающих поведение человека. На этом я закончу. Вопросы? Прежде всего, огромное спасибо. Вы нам много рассказали. Я не знал, насколько глубоки и обширны были эти эксперименты.

Здорово, что вы так глубоко погрузились в одно из первых исследований по социальному подталкиванию и строго применили его к предпочтениям в области безопасности. Это действительно замечательно. Отличное сочетание, спасибо. Было очень познавательно. Дам секунду, чтобы люди могли задать вопросы. Я знаю, что у нас уже есть несколько вопросов в чате, так что, возможно, я... Если вы хотите включить микрофон, например, Алан, и задать свои вопросы, если вы это сделаете... В противном случае я могу зачитать ваш вопрос, но всегда приятнее слышать его вашим голосом. Что ж, да, это Алан Картер. Мне было очень интересно. Я разрабатываю менеджер паролей, и у него много проблем с удобством использования. Одна вещь, которую я делаю, и я не уверен, полезно ли это, — я использую разные способы оценки надежности пароля.

Есть полоса, есть надпись, которая сообщает то же самое, есть цвет, который сообщает то же самое, а также есть всплывающая подсказка, которая сообщает предполагаемое время взлома.

Эффективно ли это, если я не могу сегментировать своих пользователей?

Думаю, неизвестно. Мне кажется, некоторые из этих техник работают для одних пользователей, но открытый вопрос, охватит ли их объединение более широкий круг пользователей, чем попытка нацеливания на отдельных людей. В то же время, одна гипотеза может заключаться в том, что наличие всех этих техник может перегрузить людей, и они проигнорируют все. Именно поэтому время взлома находится во всплывающей подсказке, чтобы вы видели ее только по желанию — это была часть дизайна.

Но да, я подозреваю, что это будет эффективно для некоторых людей, но я думаю, что одна вещь, которую я узнал из этого, — это то, что обычно трудно предсказать некоторые из этих эффектов, потому что, во-первых, существует много странных искажающих факторов и взаимодействий, о которых вы можете не думать. Да, думаю, звучит как хорошая идея, но в конечном итоге, я думаю, это то, что, вероятно, нужно оценить, верно, собрав некоторые данные, чтобы увидеть, приводит ли это к тому, что люди на самом деле создают более надежные пароли или нет. А также обязательства, которые вы использовали, сообщали ли они вам об обещании? Это публичное обязательство, и, насколько я знаю, они имеют большее влияние, чем частные обязательства. ОК.

Да. И еще один вопрос: были ли у вас тренировочные сессии, где люди, которые кликали, вы...

? Моя стратегия для таких вещей, которые случаются, — это отдельные сообщения, которые будут появляться, чтобы попытаться привлечь их внимание.

Сергей Эгельман | Семинар премии Норма Харди 2024

Но вы рассматривали такую возможность?

Подождите, что вы имеете в виду конкретно? Фишинговое предупреждение. ОК. Большинство фишинговых предупреждений являются ложными, потому что сайты используют разные доменные имена для одной и той же учетной записи. И у меня есть стратегия, при которой я переключаюсь на другое после пары ложных срабатываний на первом.

Да, я думаю, я на самом деле много работал над фишинговыми предупреждениями в аспирантуре. Это было 15-20 лет назад. И одной из самых больших проблем того времени с предупреждениями в браузере в целом было то, что большую часть времени, когда люди их видят, это происходит из-за ложного срабатывания, а затем возникает привыкание, когда люди, по сути, знают, что это ложное срабатывание, и приучены его игнорировать.

И способ побороть привыкание — это изменить дизайн, показав им другое предупреждение. Да, это кажется отличной стратегией. Спасибо. Очень круто, отличная работа. Спасибо, Пол. Я спросил их, может ли это быть вам полезно, Марк. Хорошо, я задам вопросы из чата. Если только Чип и Дэн, если вы хотите представиться... Я в городе, и у меня было пара вопросов, но они, по сути, вариации одного и того же вопроса: существует, кстати, это был отличный доклад, и я действительно нашел его поучительным и приятным. Существует небольшое несоответствие в том, что многие операторы веб-сайтов не полностью последовательны в реализации политик безопасности, в том смысле, что наблюдается много карго-культового поведения, много «слепого ведет слепого».

Многое из того, что популярно представляется как лучшие практики безопасности, на самом деле глупо и контрпродуктивно. И поэтому у меня иногда возникает проблема «проклятия знания», которая заключается в том, что, например, одна вещь, которая происходит, — это то, что в зависимости от веб-сайта я могу считать безопасность чрезвычайно важной или совсем неважной в отношении, скажем, надежности паролей. Например, если это мой банк, я хочу, чтобы он был абсолютно надежным, в то время как есть некоторые веб-сайты, где мне абсолютно все равно, смогут ли другие люди угадать мой пароль, потому что это просто не имеет значения. И поэтому существует своего рода перетягивание каната между сайтом, пытающимся подтолкнуть меня к определенному поведению, и моим сопротивлением этому поведению просто потому, что я думаю, что они делают это неправильно.

И я задаюсь вопросом, странно ли это просто потому, что я знаю слишком много, или такое расхождение более распространено?

Нет, я думаю, вы правы. Нет, «лучшие практики» обычно, когда кто-то произносит фразу «лучшие практики», у меня в голове это звучит как «вещи, которые мы делаем без эмпирической основы». Но одна из проблем, связанных с паролями, которая меня бесконечно раздражает, — это когда на сайтах есть требования к паролям, ограничивающие их надежность, например, «пароль не может быть длиннее восьми символов, мы не хотим, чтобы он был слишком надежным». Меня бесит, когда вас заставляют менять пароль каждый месяц. Да, мы знаем, что на самом деле сейчас много эмпирических данных, показывающих, что это приводит к тривиальным изменениям паролей.

Вместо этого следует поощрять людей использовать менеджер паролей для случайной генерации пароля и не заставлять их его сбрасывать, если нет доказательств утечки. Но да, я думаю, вы правы. И я думаю, однако, что один из подводных камней — это то, что многие пользователи скажут: «О, мне все равно, я проигнорирую этот совет, потому что мне все равно насчет этой учетной записи. Это для какого-то веб-сайта, мне все равно, если его взломают». Но они не задумываются о том, что используют этот пароль и во многих других местах. А это сейчас очень распространенный вектор атаки. И именно поэтому менеджеры паролей предупреждают об этом — о том, что пароль был замечен в утечке. Вас могут предупредить на сайте, который вам безразличен, но этот пароль также может использоваться где-то еще, на сайтах, которые вам важны, и о которых вы на самом деле не думаете.

Вот почему я считаю, что сейчас лучшая практика должна заключаться в том, чтобы подталкивать людей к использованию менеджера паролей для создания случайных паролей для каждого сайта. Да. Да, менеджер паролей избавляет от хлопот. Если бы у менеджера паролей был пароль «мне буквально все равно», и если бы мне пришлось его использовать, мне пришлось бы сказать «мне буквально все равно». Но с другой стороны, если я вообще использую менеджер паролей, мне даже не нужно делать такого различия. Он просто сохранит правильный пароль. Угу.

Да. Потрясающе. Следующим у нас Дэн. Хочешь задать вопрос сам? Конечно. Да. Это, вероятно, просто выходит за рамки, но мне было любопытно, есть ли у вас какие-либо советы о том, как получить эти психографические индикаторы от пользователей, потому что здорово, если вы знаете, что это работает, когда вы их знаете.

Но как мы можем получить их, не оттолкнув больше пользователей, чем мы, скажем так, спасли?

Да. Я знаю, что вывод из этого доклада не в том, что каждый раз, когда пользователи используют новое программное обеспечение, их нужно засыпать батареей психометрических тестов. Но я думаю, что один из выводов заключается в том, что многие наблюдаемые поведенческие особенности могут быть использованы для профилирования их со временем, чтобы затем предсказывать, склонны ли они к одной черте или другой. Существует также литература на эту тему, например. Несколько лет назад была статья, по сути, использующая лайки в Ф⃰ для предсказания черт личности и стиля принятия решений. И существует много данных, которые уже собираются в рамках «капитализма слежки», верно? Которые обычно используются для маркетинговых целей.

Но те же самые данные, которые уже собираются, вероятно, могут быть использованы во благо, чтобы попытаться понять, как более эффективно подталкивать людей к принятию лучших решений в области безопасности. И да. Итак, повторяю, вывод из этого доклада не в том, чтобы засыпать людей опросами. Круто. То есть мой вывод из этого — попытаться определить это по существующим данным, которых, вероятно, предостаточно. У вас есть любимая шкала из тех, что вы показали? Вы показали пять разных шкал, есть что-то в литературе по принятию решений, или вы сказали, что предиктивные шкалы — это IUIPC и PCS? Или...

?

Это шкалы конфиденциальности. И да, это шкалы, используемые для принятия решений в области конфиденциальности, и они показали себя довольно хорошо предсказывающими, как люди принимают решения в области конфиденциальности.

Что касается общего принятия решений, мы обнаружили, что черты, коррелирующие с решениями в области безопасности, — это, например, «потребность в познании». То есть насколько люди любознательны. И для таких людей объяснение модели угрозы в понятных им терминах... теперь они понимают, почему им следует это сделать, и они более склонны это сделать. Или «рассмотрение будущих последствий» — еще одна черта. Так что объяснение того, как это может иметь неблагоприятные последствия для кого-то в будущем, может заставить таких людей уделять этому больше внимания. Круто. Спасибо. Спасибо. Да, это действительно был отличный доклад. У нас осталось около двух минут. Не уверен, что мы успеем рассмотреть еще один блок вопросов, если только кто-то очень быстро не поднимет руку.

Но, возможно, я просто завершу, задав вопрос, который обычно очень интересует людей, смотрящих это видео: А) Что ждет вас впереди, в ближайшем будущем, в плане исследований? Над чем вы собираетесь работать? И Б) Если люди в восторге от вашей работы, что, думаю, видно, какие есть способы, которыми эта группа может вам помочь, если вы занимаетесь исследованиями, нуждаетесь в сотрудничестве и так далее? Это хороший вопрос. Начну со второго вопроса. Одна из причин, по которой мы делали многое из этого в онлайн-средах и фиксировали намерения, показывая людям макеты разных веб-сайтов, в том, что такие вещи очень трудно проводить в рабочих средах. Во-первых, люди, которые контролируют эти рабочие среды, обычно не любят, когда вы экспериментируете с ними.

Но да, когда мы только начинали этим заниматься, у нас были большие надежды на внешние сотрудничества, в рамках которых мы могли бы реализовать некоторые из этих «подталкиваний» на реальных сайтах, которыми пользуются люди, чтобы увидеть, как это на самом деле работает в реальном мире. И не просто смотреть на заявленные намерения людей, которые, как я склонен считать, все еще важны для измерения, потому что намерения все равно являются предиктором поведения. Но у нас плохое понимание того, как это на самом деле будет работать в реальном мире. У нас есть то, что называется высокой внутренней валидностью, то есть у нас есть все основания полагать, что результаты, полученные нами в этой сконструированной среде, достоверны, и что эти эффекты действительно существуют.

Но мы не знаем ничего об этих эффектах в реальном мире, когда присутствуют искажающие факторы, такие как реальный вход людей на реальные веб-сайты с их реальными учетными данными и тому подобное. И да, я всегда ищу возможности для сотрудничества с людьми из индустрии, которые на самом деле заинтересованы в попытке протестировать эти вещи на реальных пользователях. Любая возможность сделать это была бы замечательной. Что касается того, что дальше, эта последняя статья о «механизмах приверженности» была последним шагом в этой исследовательской повестке, над которой мы работали около 10 лет. За последние несколько лет я переключился. Я в основном занимаюсь конфиденциальностью сейчас, изучаю принятие решений в области конфиденциальности, как люди принимают решения о том, какие данные о них собираются, и пытаюсь предложить более удобные средства управления и прозрачность.

Я провел много работ, чтобы изучить потоки данных в Интернете и мобильных приложениях, чтобы посмотреть, насколько это соответствует ожиданиям пользователей. И затем также изучаю влияние регулирования конфиденциальности на это — приводит ли регулирование конфиденциальности к тому, что потоки данных с большей вероятностью соответствуют ожиданиям людей. Потрясающе. Я уверен, что на стороне конфиденциальности для таких вещей тоже есть золотая жила. О да, да. Спасибо вам большое. Я очень ценю это. Еще раз поздравляю от всех сотрудников Форсайта. Спасибо всем за отличные вопросы. И да, с нетерпением жду встречи с вами снова в среде Форсайта когда-нибудь, и удачи в вашей работе. Да, еще раз спасибо. Опять же, это большая честь, и приятно было со всеми познакомиться. Всего доброго. Всем пока. Спасибо.