Ariely表示,這類的想法是教科書中的《雙曲型折現》(hyperbolic discounting)範例。經典的雙曲型折現範例是,當你提議給其他人今天一塊錢或是明天三塊錢的時候,很多人會想要在今天拿到一塊錢。不過當你把這個問題持續問一年,這些選擇當天一塊錢的人,突然會在某天做出比較有理性的選擇,願意多等一天拿到比較多的錢。
Ariely表示,在使用密碼的狀況中,人類這種習慣對未來做出不正確判斷的傾向,會使情況更糟糕。因為當我們開始使用新服務、創造密碼的時候,其實還沒有完全搞清楚服務的好處是什麼,所以不確定自己會用這個服務多久。Ariely說:「如果我們隨著時間過去可以瞭解好處是什麼,而且發現當我們越來越倚重這個服務的時候好處會變多,這些事情對雙曲型折現來說特別敏感。」
所以或許人們需要加強的部分不是資訊,他們早就知道該保護好自己的個人資料了;應該是要幫助他們在當下做出未來會覺得受用無窮的決定。
加州大學柏克萊分校的教授Steven Webber最近開了一堂叫做「應用行為經濟學與資訊系統」(Applied Behavioral Economics for Information Systems)的課。他說:「透過簡單教導人們就可以解決問題,已經被證明是錯誤的。因為大家都學過這些事了,卻還是常常陷入困境。」
Webber提供了幾個建議,告訴大家如何系統化地利用人們扭曲的經濟決策,來加強資訊安全。Shiv和Ariely也提出類似的做法。下列是他們的建議:
連結機制(Binding mechanisms):如同古代希臘詩人荷馬講述的故事中所提到的,奧德賽在聽到海妖的歌聲之前,讓他的水手把他綁在桅杆上,免於被歌聲蠱惑,走向死亡。我們也可以讓使用者採取類似奧德賽的做法,讓他們勾選網站上創造新帳戶的表格,強迫他們在某個時間點,像是兩個禮拜之後,升級成強度更高的密碼。Webber說:「我寧願今天花10分鐘改所有的密碼,來降低一年後花很多天的時間處理身份盜竊的風險。」
資訊安全預設值(Secure defaults):既然使用者的惰性是如此堅強,幫他們預設一個超難破解的預設密碼,也是解決之道。Shiv表示:「有天我去拜訪我妹妹的時候,問我的妹夫:『可以給我無線網路的密碼嗎?』結果他竟然背給我一長串,16位元的字母和數字混雜的密碼。這傢伙是醫生,跟科技界一點關係也沒有。我問他:『靠,你怎麼想出這組密碼的?你是怎麼背下來的?』他說:『當技術人員幫我設定家裡的網路時,他們說這一組16位元的字串是我的密碼。』看吧,就是有人會選擇把原來的密碼背下來,而不是設定一組新的、比較簡單的密碼。」
使用者親和性(User friendliness):幾十年來,認證一直是以文字為主。為什麼不創造新的系統呢?Ariely說:「我們要讓人用起來覺得簡單,而不是讓電腦覺得簡單。舉例來說,人類很擅長辨認不同的臉孔。我們看臉的能力很強。想像一下,如果密碼不是要求我們鍵入代碼而是辨識人臉呢?如果我是一開始設計密碼的人,我就會思考:『有什麼事情是人類可以下意識做得很好的事?』」
獎勵(Incentives):人們雖然會在面對資訊安全的時候做出不恰當的妥協,不過這不代表他們對於獎賞也是同樣的無動於衷。Webber提議如果人們保護自己的登入資訊的話,就提供他們中程的獎賞。舉例來說,如果你加強無線網路的資訊安全的話,你的網路服務提供公司就給你一些折扣。如果你的密碼很長,或是你能證明買了密碼管理軟體的話,Amazon.com就給你一些折扣。反過來說,Webber認為,我們有時候應該要考慮把詐騙的責任,從信用卡公司轉到消費者身上,尤其是在消費者根本沒有採取防詐騙的行動時。
最終,比起教導人們怎樣改變他們的行為,改變線上資訊安全的基礎設施說不定會比較好。畢竟,如果資深科技作家,企業社交網路和線上媒體公司都不能做出恰當的的資訊安全決策,我們怎麼能預期科技白癡能做得好呢?
你別以為讀了這篇文章之後就可以做得比較好:瞭解人類行為的扭曲經濟決策不能讓你有所提升。神經經濟學家Shiv說:「我在很多情況下還是用我1992年在美國杜克大學大學部念書的時候所創造的密碼,我對這點感到很愧疚。」
引用自http://wired.tw/2012/09/05/hackers-walk-all-over-you/index.html
原也網頁設計、網站規劃、網站行銷。
沒有留言:
張貼留言