Inimesed kipuvad keerulist parooli üles kirjutama
Tüüpiliselt on sellisel puhul loodud “paroolipoliitika” ehk reeglistik, kus on näiteks kirjas: iga töötaja peab oma kirjakasti parooli vahetama kord 60 päeva tagant ja uus parool ei tohi olla sama, mis varem on olnud. Vastasel juhul lihtsalt näiteks kirjakasti ei pääse. Sellel võib olla pealtnäha õilis tagamõte, et kui keegi töötaja parooli ka teada saab, siis varem või hiljem muutub see ära ja ükski võõras ei saa pikemat aega firma võrgule ligi. Ent töötajad – keda selline pealesunnitud parooli vahetamine marru ajab – on pikka aega kahtlustanud, et selline kord on jama.
Briti luure põhjendabki, et selline paroolipoliitika ei võta arvesse “kasutatavuskulusid” ehk inimesele põhjustatavat ebamugavust. Enamik paroolipoliitikaid sunnib inimest meeles pidama parooli, mis on keeruline ja võimalikult juhuslik – ning probleem ongi sellise meelespidamisega. Nii võtavad inimesed uueks parooliks mõne varasemaga sarnase või veel hullem, kirjutavad selle kättesaadavasse kohta üles. Organisatsioon saab sellega ühe haavatavuse juurde.
Kui aga inimene uue keerulise parooli unustab, ei pääse ta oma kontole ligi, väheneb tööviljakus ja kulutatakse abiliini aega.
Nii ütlebki CESG oma raportis, et tegu on eba-intuitiivse olukorraga: mida rohkem sunnime inimesi paroole vahetama, seda suuremaks kasvab haavatavus rünnakutele. Seepärast soovitavad briti luure infoturbe eksperdid, et organisatsioonid ei sunniks inimesi paroole vahetama.