Wachtwoordbeveiliging is een typisch voorbeeld van beter-dan-niets-beveiliging. Onder meer omdat we slechte wachtwoorden gebruiken of ze hergebruiken op meerdere sites. Zo'n systeem is voor gebruikers veelal ergerniswekkend omdat we door arbitraire hoepels moeten springen met 'tekens verplicht, maar niet dít teken' of iets anders frustrerends.

Dat is weer bedacht om zwakke wachtwoorden te voorkomen (wat trouwens ook niet werkt) omdat deze een grote ergernis zijn onder beveiligers. We gebruiken bijna allemaal ergens wel zwakke wachtwoorden, ook al weten we beter.

Goed georganiseerd

Wachtwoordbedrijf LastPass deed onderzoek (PDF) naar waar dat gedrag eigenlijk vandaan komt en concludeert dat we wegrationaliseren waarom we een zwak wachtwoord gerust kunnen gebruiken. Volgens LastPass hangt het af van onze persoonlijkheden welke argumenten we gebruiken.

Het onderzoek gaat uit op de ietwat simplistische persoonlijkheidsverdeling waar sommige mensen zo dol op zijn met type-A- en type-B-persoonlijkheden. Voor type-A-mensen (ruwweg ambitiegedreven, competitief, ongeduldig) geldt vaak dat ze lijden aan een vorm van zelfoverschatting. Ze denken dat ze hun wachtwoorden voldoende georganiseerd hebben en verstandig genoeg omspringen met wachtwoorden om ze bijvoorbeeld tussen bepaalde sites te recyclen.

Verder leidt vaak het gevoel controle te moeten houden tot het gebruik van dezelfde wachtwoorden (zodat ze niet snel vergeten worden en toegang gegarandeerd blijft).

Oninteressante data

Contrasterende persoonlijkheden (type B, ruwweg rustiger, minder competitief, geduldiger) vertonen hetzelfde onwenselijke gedrag, maar hebben daar andere argumenten voor, aldus LastPass. Ze zijn nonchalanter omdat ze menen dat hun data toch niet interessant zijn voor hackers.

Ook denken de meesten dat er wel andere dingen zijn die online security veel meer bedreigen dan wachtwoorden, wat een extra variabele blijkt te zijn in de (al dan niet bewuste) afweging of een wachtwoord belangrijk is.