Made available in DSpace on 2013-08-07T19:09:32Z (GMT). No. of bitstreams: 1
000397319-Texto+Completo-0.pdf: 566307 bytes, checksum: 0835442fcfc95cad0688f096a46263c6 (MD5)
Previous issue date: 2007 / How many passwords and PINs do you have to remember just to manage your affairs on the Internet? In fact, many deficiencies of password authentication systems arise in consequence of regular working conditions of human memory. If one needed not to remember passwords, they could be very secure indeed. Traditionally, Information Security approaches to the password problems seem to have focused on the technological aspects. Besides, the user has been considered the weakest link in the security chain, indicating that the human factors end up jeopardizing the security that the technology is supposed to enhance. Hence, it is necessary to better understand the human factors involved in authentication, so that these factors can be accommodated into both new and existing systems. Therefore, this dissertation reports two empirical studies. The first study describes a survey conducted in order to identify the main factors that hinder password recall. For this study, 263 male and female participants were interviewed. Participants’ ages ranged between 18 and 93, and education level ranged from grade school to graduate degree. The results indicated that, regardless of age or educational level, the number of password uses (in average 5. 38 passwords per user) is the factor that influences memory performance the most. Thus, better-educated users, for owning more passwords, were more prone to password forgetting and mix-ups. Contrary to the expectations, the effect of cognitive decline (due to the aging process) on password memory was not observed. In sum, the necessity of memorizing strong passwords, by ignoring the natural working conditions of human memory, generates revenge effects: habits that jeopardize the very reason for using passwords. In the second study, we intended to explore ideas based on Cognitive Psychology aiming at enhancing memory performance in password usage.By means of two experiments, the study investigated the effect of elaborative rehearsal and of cue support as an aid to password recall, with the goal of encouraging the generation of strong and memorable passwords. Experiment 1 evaluated the effect of elaborative rehearsal and of cue support on password composition, length, and security potential, as compared to a control group. Password recall was tested in two occasions, 5 minutes after password generation and after a week interval. The results from Experiment 1 indicate that people tend to observe only the requirements that are somehow enforced, in spite of the instructions. With Experiment 2, we sought to evaluate the memory performance after a longer delay, that is, five weeks after password generation. Group effects (experimental vs. control) on password recall were not observed. However, a possible confound was identified, the spacing effect, caused by the 5 minute login which, according to memory studies, favors the encoding process. In both experiments, recall levels were higher than expected. In addition, the errors from the unsuccessful login attempts were carefully analyzed and categorized. The observed error types suggest that, oftentimes, the users do remember the gist of the password, but forget the details of the format in which the password was coded. This work concludes with considerations about the main findings described in the two studies, as well as their potential implications. Moreover, in an attempt to bridge the gap between the world of technology and the world of its human users, whose interaction has often been overlooked, we point out suggestions for future investigations and limitations of the reported studies. / Quantas senhas você precisa lembrar apenas para gerenciar suas informações na Internet? Isso sem falar nas contas bancárias, ou naquelas referentes à vida profissional. De fato, muitas das deficiências dos sistemas de autenticação por senhas se originam das condições de funcionamento da memória humana. Se não fosse necessário lembrar de senhas, elas poderiam, com certeza, ser muito seguras. A abordagem da Segurança da Informação ao enfrentar os problemas relacionados ao uso de senhas parece se concentrar nos aspectos tecnológicos. Da mesma forma, o usuário tem sido considerado o elo mais fraco na cadeia de segurança, indicando que os fatores humanos acabam comprometendo a segurança que a tecnologia pretende aumentar. Por isso, verificou-se a necessidade de melhor compreender os fatores humanos e buscar alternativas de incluí-los em sistemas de autenticação por senhas. Dessa forma, a presente tese relata dois estudos empíricos. O primeiro estudo descreve um levantamento realizado com o objetivo de identificar os principais fatores que comprometem a recordação de senhas. Neste estudo foram entrevistados 263 participantes de ambos os sexos, com idades entre 18 e 93 anos, e com escolaridade variando de baixa a superior. Os dados indicaram que, independente da idade e da escolaridade, o número de usos de senhas (em média 5,38 senhas por usuário) é o fator que mais influencia o desempenho da memória para senhas. Assim, usuários com escolaridade mais alta, por possuírem várias senhas, mostraram uma maior tendência ao à confusão no uso de senhas. Ao contrário das expectativas, não foi observado efeito do declínio cognitivo (devido ao envelhecimento) na memória para senhas. Em suma, a necessidade de memorizar senhas seguras, por ignorar as condições naturais de funcionamento da memória humana, gera efeitos de vingança: hábitos que comprometem a própria razão pela qual as senhas são usadas.Com o segundo estudo buscou-se explorar idéias baseadas na Psicologia Cognitiva visando a melhorar o desempenho da memória no uso de senhas. Através de dois experimentos investigou-se o efeito da repetição elaborativa e do uso de pista como auxílio à recordação de senhas, visando a promover a geração de senhas fortes e recordáveis. O Experimento 1 avaliou o efeito da repetição elaborativa e do auxílio de pista na composição, tamanho e potencial de segurança das senhas geradas, comparadas com um grupo controle. A recordação das senhas foi testada em dois momentos, após 5 minutos e uma semana depois. Os resultados do experimento 1 indicaram que as pessoas tendem a observar somente os requisitos obrigatórios, apesar da instrução. O Experimento 2, buscou avaliar o desempenho da memória após um intervalo maior de tempo decorrido, ou seja, cinco semanas depois da geração da senha. Não foi observado efeito de grupo (experimentais vs. controle) na recordação da senha. Entretanto, foi identificada uma possível variável confundidora, o efeito de espaçamento causado pelo login depois de um intervalo de 5 minutos, o que de acordo com os estudos de memória favorece a codificação. Em ambos os experimentos os níveis de recordação foram altos. Ainda, os erros cometidos em tentativas de login mal-sucedidas foram criteriosamente examinados e categorizados. Os tipos de erros observados sugerem que muitas vezes os usuários lembram da essência da senha, mas esquecem de detalhes do formato no qual a senha foi criada. A presente tese conclui considerando alguns dos principais achados relatados nos estudos e suas possíveis implicações. Além disso, visando reduzir a distância entre o mundo da tecnologia e de seus usuários humanos, cuja interação tem sido freqüentemente negligenciada, são apontadas sugestões para futuras investigações, bem como limitações dos trabalhos realizados.
Identifer | oai:union.ndltd.org:IBICT/urn:repox.ist.utl.pt:RI_PUC_RS:oai:meriva.pucrs.br:10923/5037 |
Date | January 2007 |
Creators | Silva, Denise Ranghetti Pilar da |
Contributors | Stein, Lilian Milnitsky |
Publisher | Pontifícia Universidade Católica do Rio Grande do Sul, Porto Alegre |
Source Sets | IBICT Brazilian ETDs |
Language | Portuguese |
Detected Language | English |
Type | info:eu-repo/semantics/publishedVersion, info:eu-repo/semantics/doctoralThesis |
Source | reponame:Repositório Institucional da PUC_RS, instname:Pontifícia Universidade Católica do Rio Grande do Sul, instacron:PUC_RS |
Rights | info:eu-repo/semantics/openAccess |
Page generated in 0.0031 seconds