En el documento Portafolios de palabras clave y el usuario de esfuerzos finitos: Administración sostenible de grandes cantidades de cuentas | USENIX Security 2014 (tenga en cuenta que el texto completo en pdf ya está disponible). Está cubierto por ej. en
Básicamente, dado que es imposible que los usuarios recuerden contraseñas buenas y únicas para docenas o cientos de cuentas diferentes, y que algunas cuentas tienen un bajo riesgo para el usuario si están comprometidas (por ejemplo, contraseñas para iniciar sesión en un sitio de periódico para leer historias), explican que "la reutilización de la contraseña puede ser parte de una estrategia de afrontamiento ". Sugieren que las personas pueden agrupar cuentas con alto valor más baja probabilidad de compromiso, y aquellas con bajo valor más alto riesgo de probabilidad, y reutilizar la misma contraseña dentro de cada grupo. Su análisis abarca a los administradores de contraseñas, que también cambian algunos de los riesgos, hasta cierto punto. Sobre ese tema, consulte también ¿Cómo evaluar un administrador de contraseñas? . Añadiré que las estrategias híbridas también pueden tener sentido, por ejemplo. utilizando un administrador de contraseñas para algunos grupos de cuentas.
Señalan la necesidad de comprender y explicar cómo los usuarios pueden intercambiar el esfuerzo del usuario para recordar las contraseñas con la probabilidad de que la contraseña esté comprometida. Este sitio ha reunido cierta sabiduría en relación con eso: ¿Cuál es tu manera de crear buenas contraseñas que realmente puedan ser recordadas?
También señalan la necesidad de estudios futuros para comprender, modelar y explicar las pérdidas debidas a compromisos de varios tipos de cuentas. Entonces, mi pregunta para los expertos en gestión de riesgos y para aquellos expertos en explicar las cosas de manera que se conecten con los usuarios, ¿cómo podemos ayudar mejor a los usuarios a comprender los tipos de riesgos a los que se enfrentan si cuentas de diferentes? ¿Los tipos están comprometidos ? P.ej. el compromiso de una contraseña para una billetera bitcoin en línea presumiblemente significa la pérdida irrecuperable de todos los bitcoins almacenados allí. Sin embargo, el compromiso de la contraseña para leer artículos en un sitio de periódico puede tener poco o ningún impacto significativo en el usuario, y de hecho, algunos grupos de usuarios intentan compartir cuentas y contraseñas para este tipo de sitios con sus amigos. Otros tipos de cuentas son los bancos tradicionales (con alguna esperanza de recuperación de fondos robados), redes sociales, correo electrónico, contraseñas relacionadas con el trabajo, servicios web, acceso wifi, claves de cifrado, etc. A veces, las pérdidas pueden no ser obvias para los usuarios ( por ejemplo, riesgos de robo de identidad, pérdida de reputación, etc.).