Derfor hører vi ikke på sikkerhetstips

Folk hører det om og om igjen: Ha sikre passord. Sjekk url-en. Sørg for at SSL-sertifikatet er i orden.

Men ofte taler sikkerhetsekspertene for døve ører.

Hvorfor?

- Brukernes avvisning av sikkerhetstips er helt rasjonell, sett fra et økonomisk synspunkt, skriver Cormac Herley i Microsoft Research i en ny rapport.

Mye jobb

Herley ser på det hele fra et økonomisk perspektiv. Og argumenterer derfor mot andre som mener brukerne er late, eller tipsene for vanskelige.

Les også: VG ber om passord på epost

Et eksempel er dette med passordpraksis. Herley ser på tipsene som florerer, som å bytte passord ofte, bruke tall og spesialtegn, aldri bruke det samme på flere sider og aldri skrive det ned.

Kosten for dette er å huske kompliserte passord, og arbeide med å stadig finne på nye. Herley skriver at gjennomsnittlig har hver nettbruker nå er 25 passord. Å følge alle råd blir derfor mye jobb for mange.

Lite nytte

Den potensielle nytten av tipsene kan være å beskytte seg mot at andre logger seg inn på din konto.

Men den faktisk nytten, slik Herley ser det, er liten. Tipsene beskytter deg ikke mot nettfiske og tastelogging. Dessuten garanterer de fleste banker at de betaler deg tilbake om du blir offer for nettkriminalitet. Og det selv om brukeren kan ha gjort feil, som å ikke høre på passordtips.

Les også: Bryr oss ikke om mobile trusler

- Derfor er brukerne helt rasjonelle når de avviser arbeidet det tar for å sikre dem mot direkte tap som virker små, og uansett som oftest blir dekket av bankene, skriver Herley.

Han går gjennom samme regla når det gjelder å sjekke url-er og SSL-sertifikater. Han mener jobben som kreves for å være på den sikre siden ikke dekker opp for den faktiske risikoen.

Fordelt på alle nettbrukere, blir det økonomiske tapet hver enkelt lider av den totale nettkriminaliteten forsvinnende liten. Arbeidet hver enkelt må utføre for å sikre seg, derimot, kan bli relativt tidkrevende.

Dette må gjøres

Gjennom matematiske beregninger, som du kan se nærmere på i rapporten, "beviser" han at det ikke "lønner seg" å høre på rådene. Tapet nettbrukerne samlet sett lider, blir altså ikke på langt nær er like stort som tiden de må bruke på å sikre seg mot det.

Les også: Derfor skal du være paranoid

Men hva skal man så gjøre for å skape et sikrere internett?

- Brukerne er ikke irrasjonelle, skriver Herley.

- Om vi vil endre noe, må vi gi dem en bedre byttehandel. Vi har bare snakket om hva det verste som kan skje er, ikke den gjennomsnittlige skaden. Dermed har vi overdrevet enormt verdien av råd. Ved å evaluere rådene bare ut fra nytten, har vi tillagt brukertid og arbeid null verdi.

NB: Cormac Herley understreker at han ikke oppfordrer folk til å overhøre sikkerhetstips. Rapporten retter en pekefinger mot bransjen, ikke brukerne.

Bryr du deg om å følge alle sikkerhetstips? Hører andre på deg når du kommer med tips? Snakk med likesinnede i feltet nedenfor!