L’incitation douce (“nudging” en anglais) a fait ses preuves dans divers domaines tels que la santé, l’éducation, le monde des finances ou bien encore la sécurité et la protection de la vie privée. L‘incitation douce soutient que, dans le but de faciliter la prise de décision des individus, il est préférable de rendre le processus facile, plus attrayant et socialement souhaitable plutôt que de s’appuyer sur la mise en place de politiques strictes, d’interdictions ou bien encore de sanctions. L’incitation douce peut prendre plusieurs formes telles que l’étiquetage des produits alimentaires afin de porter les choix sur des aliments plus sains, la comparaison de la consommation en électricité entre les habitations d’un même quartier résidentiel afin de pousser les consommateurs à être plus vigilants sur leur consommation ou bien encore, l’utilisation d’abonnement automatique à des services d’épargne dans les banques.
En sécurité informatique, l’incitation douce a été abondamment utilisée pour promouvoir de meilleures prises de décisions quant à la sécurité en ligne des utilisateurs, notamment quant au choix des mots de passe. Cependant, ces mesures d’incitation douce ont souvent une approche unique (« one size fits all ») bien que plusieurs études aient démontré que l’incitation douce a des effets variés selon le profil de l’utilisateur. Il importe donc de prendre en compte l’hétérogénéité des utilisateurs en personnalisant les mesures d’incitation douce.
Les auteurs de cet article se sont intéressés à cinq mesures d’incitation douce :
- Password Meter qui affiche visuellement la force d’un mot de passe.
- Crack-Time qui offre de la rétroaction sur le temps requis pour cracker un mot de passe.
- Social qui permet la comparaison de la force du mot de passe selon les normes sociales.
- Correct Horse Battery Staple (CHBS) qui suggère aux utilisateurs de créer des mots de passe selon un principe de concaténation.
- Insertion qui suggère aux utilisateurs d’insérer aléatoirement des chiffres et des caractères spéciaux dans leur mot de passe.
Afin de mesurer les différences individuelles dans la prise de décision, les chercheurs ont utilisé quatre échelles de mesure : le style général de prise de décision (General Decision-Making Style), le besoin de cognition (Need for Cognition), la considération des conséquences futures (Consideration for Future Consequences) et la numératie.
Les 2074 participants de l’étude ont été invité à répondre à un questionnaire sur le style général de prise de décision et le besoin de cognition. Ils ont ensuite été séparé en trois groupes : un premier groupe recevait des mesures d’incitation douce personnalisées, un autre n’en recevait aucune et un troisième en recevait aléatoirement. Ensuite, les participants ont été invité à changer le mot de passe d’une adresse courriel qui sera utilisé plus tard. Une semaine après, dans une étude de suivi, les participants ont été invités à entrer le mot de passe choisi précédemment.
Les résultats ont démontré, qu’en moyenne, les mots de passe étaient plus forts pour les participants ayant reçu les mesures d’incitation douce personnalisée. De plus, les auteurs ont calculé que ces mots de passe créés à l’aide de mesures d’incitation douce, prenaient plus de temps à être cracké que les autres mots de passe. Cette étude permet de montrer que la personnalisation des mesures d’incitation douce permet d’augmenter la force d’un mot de passe. Les auteurs mentionnent toutefois que de nombreux efforts sont requis afin de mettre en place ce type de mesures.