عندما يُسأل المرء عن كيفية بدء يوم عمل عادي، فمن المرجح أن تشمل إجابته الأنشطة المعتادة مثل الاستيقاظ، تحضير القهوة، أو ربما تصفح الأخبار بسرعة. لكن في عالم ما بعد الجائحة حيث أصبح العمل عن بُعد شائعًا، فإن “تسجيل الدخول” إلى العمل أصبح جزءًا لا مفر منه من الروتين.
مختبئًا في هذا الفعل الروتيني حقيقة خالدة غالبًا ما نغفل عنها. إنه جزء من طقس حديث يؤديه كل موظف بهدوء وبشكل تلقائي، كما لو كان ذاكرة عضلية—طقوس تعتمد عليه المؤسسات في كل مكان، و يومًا بعد يوم لحماية نزاهة وسلامة أعمالها.
ليس الأمر مبهرجًا، ونادرًا ما يتم التشكيك فيه. لكنه يُحدد خط الدفاع الأول لأمن المؤسسات: إنه روتين “كلمة المرور”.
بينما يُعد روتين استخدام “كلمة المرور” أمرًا بالغ الأهمية للمؤسسات، إلا أنه بالنسبة للموظفين مجرد جزء من الروتين اليومي الممل، أمر ثانوي يُدفع بين دعوات التقويم وإعادة ملء القهوة، مدفوعًا أكثر بالعادة وليس بفهم واعٍ لتأثيراته الأمنية.
الفن الدقيق لاختيار كلمة المرور
إذن هكذا تسير الأمور، أليس كذلك؟
عندما تنضم إلى مؤسسة ما، يتم إضافتك إلى شبكتها الداخلية. على الفور، يُطلب منك اختيار “كلمة مرور” ستستخدمها لتسجيل الدخول إلى العمل، سواء عن بُعد أو غير ذلك.
لنكن صادقين، في هذه اللحظة بالذات، كم منا يُفضل أمن المؤسسة على راحته اليومية؟
نعم، هناك سياسات مؤسسية تفرض عليك اختيار كلمات مرور معقدة. لكن لنواجه الأمر، معظمنا يختار أقرب اختصار ذهني—نفس كلمة المرور التي استخدمناها لسنوات في أماكن أخرى، مع تعديلها بالكاد لتلبية الحد الأدنى من المتطلبات، وغالبًا ما تكون مكتوبة في مكان ما.
حسنًا، لنفترض أننا نفعل هذا في الروتين المؤسسي حيث نسيان كلمة المرور يمثل مشكلة، لأن هناك سياسات امتثال يجب اتباعها، وإجراءات إعادة تعيين، ودعم فني يجب التعامل معه. في بيئة عمل بيروقراطية كهذه، إعادة استخدام “كلمة مرور” سهلة التذكر يبدو منطقيًا إلى حد ما. ومع ذلك، نحن ننقل نفس السلوك إلى حياتنا الشخصية، حيث الدعم محدود وعواقب الاختراق يمكن أن تكون أكثر شخصية، ومع ذلك نختار الراحة على الأمان.
نحن نعلم أن إعادة استخدام نفس “كلمة المرور” أمر سيء. إذن، لماذا لا نزال نفعل ذلك؟
تميل المؤسسات إلى التغاضي عن هذا النمط السلوكي الأساسي وتستجيب بدلاً من ذلك بإضافة طبقات من تدريبات الامتثال وبروتوكولات الأمن الصارمة فوق روتين “كلمات المرور” المرهق بالفعل. هذا لأنها غالبًا ما تتعامل مع سوء استخدام “كلمات المرور” من قبل الموظفين على أنه مشكلة معرفية. تفترض أنه إذا كان الموظفون أكثر دراية، فسيمارسون عادات أفضل في إدارة كلمات المرور.
لكن الأمر ليس كذلك. هذا السلوك ناتج عن تحيزات معرفية عميقة تدفعنا نحو اتخاذ قرارات تعبر عن حذرنا تجاه أي شيء خارج حدود المألوف.
العقلانية المحدودة
“الجيد بما يكفي هو ما يكفي”.
تقترح هذه الفكرة أنه عندما يكون الناس مقيدين بحدود مثل الوقت، المعلومات، والموارد المعرفية، فإنهم لا يسعون لاتخاذ القرار المثالي، بل يختارون قرار مُرضٍ.
نحن لا نحاول أن نخطئ في الأمن. نحن ببساطة نحاول إنجاز عملنا. إدارة “كلمات المرور” مرهقة ذهنيًا، لذلك نلجأ إلى اختصارات مثل الملء التلقائي للمتصفح أو إعادة استخدام كلمات المرور. هذا ليس كسلًا، بل مجرد مقايضة فعالة في حسابنا الذهني للفوائد والتكاليف.
الاستدلال التوافقي
“إذا تذكرته، فلا بد أنه صحيح”.
يشير هذا التحيز المعرفي إلى أن الناس يتحققون من صحة أو أمن شيء ما بناءً على مدى سهولة تذكرهم لمثال أو معلومة تبرره. كلما كان المثال أكثر حداثة أو شخصية، شعر الناس أنه أكثر أمانًا بغض النظر عن الأدلة الفعلية.
نحن ندير كلمات المرور بنفس الطريقة التي ندير بها الذكريات: بالاعتماد على ما هو أسهل للتذكر. لذلك نتمسك بتنويعات نفس “كلمة المرور” أو نعيد استخدامها من حسابات أخرى. لا نختار هذه الكلمات لأنها آمنة (وهي ليست كذلك)، بل لأنها متاحة معرفيًا. نحن نساوي بين القابلية للتذكر والأمان، حتى عندما يجعلنا ذلك أكثر عرضة للخطر.
تجنب الخسارة
“أفضل ألا أفقد الوصول بدلاً من جعله أكثر أمانًا”.
يشير هذا المبدأ المعرفي إلى أن الناس يشعرون بألم الخسارة بشكل أكثر وضوحًا من متعة المكاسب المحتملة.
بالنسبة للعديد من المستخدمين، يبدو الخوف من الحظر خارج الحساب أكثر إلحاحًا من خطر التعرض لهجوم إلكتروني. هذه القلق يدفع عادات مثل كتابة كلمات المرور، أو إعادة استخدام كلمات المرور من الحسابات الشخصية، أو استخدام الإعدادات الافتراضية للنظام. ليس الأمر أن الناس لا يفهمون المخاطر، بل أن الحاجة إلى الوصول غير المنقطع تفوق غالبًا وعد الحماية طويلة المدى.
توقع قرارات مثالية من القوى العاملة في ظروف غير مثالية غالبًا ما يكون عديم الجدوى. إذا كان السلوك الآمن يشعر وكأنه عبء، فهذا يعني أن النظام لم يُصمم بأخذ الناس في الاعتبار. بينما يمكن غرس ممارسات الأمن من خلال فيديو تدريبي، إلا أن المسؤولية لا تتوقف عند هذا الحد.
سد الفجوة بين المألوف والأمن
لدعم السلوك الآمن على نطاق واسع، يجب على المؤسسات أن تزيل عبء إدارة كلمات المرور من أيدي الموظفين. تحتاج المؤسسات إلى تقليل احتمالية الخطأ البشري وتجاوز التحيزات التي تؤدي إلى إرهاق “كلمات المرور”، أو إعادة استخدامها، أو تخزينها بشكل غير آمن. أفضل طريقة لمنع السلوكيات الخطيرة في كلمات المرور هي إزالة الحاجة إليها تمامًا.
اعتماد أدوات المصادقة التي تتيح استخدام مفاتيح المرور (Passkeys)، والمصادقة الموحدة (SSO)، والروابط السحرية (Magic Links) يزيل نقاط الاحتكاك حيث يعاني المستخدمون عادةً.
تمثل مفاتيح المرور (Passkeys) تحولًا في السلوك الافتراضي. بدلاً من إجبار المستخدمين على تذكر أو إدارة بيانات الاعتماد، تستخدم مفاتيح المرور مفاتيح تشفير مرتبطة بالجهاز تتم مزامنتها بأمان عبر الأجهزة. و في الأماكن التي لا يمكن تطبيق مفاتيح المرور فيها، يمكن تمكين المصادقة الموحدة (SSO) للوصول عبر المؤسسات. تبسط المصادقة الموحدة الوصول عبر المنصات باستخدام بيانات اعتماد واحدة أو نقطة مصادقة واحدة. من خلال توحيد تسجيل الدخول، لا يتعين على المستخدمين التعامل مع العشرات من نقاط الدخول.
للتخلص من التحيزات التي تتداخل مع إدارة كلمات المرور، يمكن للمؤسسات الاستفادة من خزائن مفاتيح المرور التي تلغي الحاجة إلى إدارة كلمات المرور من قبل الفرد. بمجرد أن تصبح هذه الأنظمة في مكانها، يمكن للمؤسسات بعد ذلك، من خلال التدريب الذي يعزز المشاركة القائمة على القيمة، أن تظهر للموظفين كيف تجعل هذه الأنظمة الأمن يسير جنبًا إلى جنب مع الإنتاجية.
هذه الترقيات تتجاوز العقلانية المحدودة من خلال إزالة الضغط الذهني لإدارة الوصول تحت الضغط، لأنه كلما قل عدد القرارات التي يحتاج الناس إلى اتخاذها، قل عدد الفرص التي يستقرون فيها على أي شيء يمكنهم من إكمال يومهم. وعندما لا يوجد شيء لتذكره، لا يوجد مجال لتحيز التوافر لخلق وهم الأمن. يختفي الخيار، وبالتالي يختفي الخطر. بالنسبة للمستخدمين الذين يخشون من فقدان الوصول أكثر من الاختراق، هذا تحول مهم، لأنهم الآن يحصلون على الأمن دون التضحية بالوصول.
عندما تتبنى المؤسسة ضوابط من هذا النوع تزيل الاعتماد على التحيزات المعرفية للمستخدم، فإنها لا تنفذ فقط إجراءً أمنيًا، بل تقوم بتدخل سلوكي. إنها تقضي على نقاط القرار حيث تسير الأمور بشكل خاطئ، حيث يختار الناس ما هو سهل وليس ما هو صحيح.
ضمان مواكبة السياسات المؤسسية للتكنولوجيا
لا يمكن الاعتماد على التكنولوجيا وحدها للانتقال إلى مؤسسة آمنة حقًا. يجب أن ينعكس هذا أيضًا على مستوى السياسات. غالبًا ما يترك الوصول المشترك التقليدي عندما يتعلق الأمر بالوصول المميز إلى الأنظمة الحرجة إلى وجود فجوات. على سبيل المثال، في الحالات التي تكون فيها مهام الصيانة المجدولة مطلوبة على نقاط نهاية النطاق الحرجة، يعتمد الموظفون على بيانات الاعتماد المشتركة أو عمليات الموافقة اليدوية، حيث تؤدي الاختصارات المعرفية إلى حسابات ذات صلاحيات زائدة وحقوق وصول راكدة.
لمواجهة هذا، تتجه المؤسسات بشكل متزايد إلى مشاركة الوصول بدون “كلمات مرور” من خلال حلول إدارة الوصول المميز (PAM). تعمل هذه الحلول على تبسيط العملية من خلال منح الحقوق وسحبها ومراجعتها تلقائيًا بناءً على السياسات المحددة مسبقًا. تضمن حلول PAM أن كل وصول يكون في الوقت المناسب ودقيق النطاق، مما يلغي الحاجة إلى التدخل البشري.
ومع ذلك، حتى أفضل الحلول التقنية لا يمكنها التغلب على سياسات غير متوافقة.
في هذا السياق، يظهر الذكاء الاصطناعي كعامل تمكين حاسم في طبقة السياسات المؤسسية. مسؤولو تكنولوجيا المعلومات المكلفون بالإشراف على الوصول المميز هم أيضًا بشر ويخضعون لتحيزات معرفية مماثلة، مما قد يؤدي إلى منح الوصول بناءً على حالات سابقة. ومع ذلك، في بعض الأحيان قد يكون لدى المستخدمين المميزين أذونات لم يستخدموها أبدًا، مما قد ينزلق تحت الرادار، مما يؤدي إلى امتيازات راكدة.
عندما يتم إدخال الذكاء الاصطناعي في هذه المرحلة لاقتراح سياسات وصول مميز ديناميكية بناءً على تقييمات المخاطر في الوقت الفعلي وللكشف عن السلوك غير الطبيعي، فإنه يعالج هذه التدخلات المعرفية غير الضرورية.
إدراك العبثية في إدارة كلمات المرور المؤسسية
في أسطورة “سيزيف”، يحكي “ألبير كامو” قصة عبثية عن رجل محكوم عليه بدفع صخرة إلى أعلى التل إلى الأبد، فقط لمشاهدتها تتدحرج إلى الأسفل في كل مرة. يستخدم كامو هذه الصورة لاستكشاف كيف، حتى في المهام المتكررة والتي تبدو بلا معنى، نبحث عن الهدف.
بطرق عديدة، تبدو تفاعلاتنا اليومية مع بروتوكولات الأمن، سواء كانت كلمات مرور، أو مطالبات تسجيل الدخول، أو تدريبات التصيد الاحتيالي، أو قوائم المراجعة الامتثالية، مشابهة جدًا لعبء “سيزيف”. من المتوقع أن نبقى متيقظين، ونتبع قائمة متزايدة من القواعد، ونواكب عملنا الفعلي. لكن الناس لا يعملون بشكل جيد تحت الضغط المستمر. مع مرور الوقت، يبدأ التعب، تتولى العادات زمام الأمور، ونبحث عن حلول بديلة، ليس لأننا لا نهتم، بل لأنها طبيعة بشرية.
الحل ليس إضافة المزيد من التعقيد؛ بل إعادة التفكير في النظام. أدوات مثل مفاتيح المرور، والمصادقة الموحدة، وإدارة الوصول المميز، والذكاء الاصطناعي لا تحسن الأمان فحسب، بل هي تصحيحات فلسفية. إنها تعفي الفرد من هذه العبثية. عند القيام بذلك، تختفي الصخرة، ويبقى نظام مصمم ليعكس واقع العمليات الفكرية والقدرات المعرفية للناس.
Behavioral economics of enterprise password management
Written by: Niresh Swamy, Enterprise Analyst at ManageEngine
When someone asks how you start a typical weekday, your answer likely includes the usual suspects, be it waking up, brewing coffee, or maybe even a quick scroll through the news. But almost inevitably, in the post-pandemic world where remote work has become commonplace, it also includes logging in to work.
Buried in this mundane act is a timeless truth we often overlook. It’s part of a modern ritual that every hybrid worker performs quietly, instinctively, like it’s muscle memory—a ritual that organizations everywhere rely on, day in and day out, to protect their business integrity.
It’s not glamorous. It’s rarely questioned. But it defines the frontline of enterprise security: It’s the password routine.
While the password routine is something that is of importance to organizations, for employees, it is simply a part of the daily grind, an afterthought tucked between calendar invites and coffee refills, driven more by habit than by a conscious understanding of its security implications.
The subtle art of choosing a password
So, this is how it goes, right?
When you join an organization, you are added to their corporate network. Immediately, you are instructed to choose a password that you will use to log in to work, remotely or otherwise.
Now let’s be honest, at this particular juncture, how many of us put the security of the organization over our everyday convenience?
Yes, there are organizational policies that demand that you choose complex passwords. But let’s face it, most of us still choose the nearest mental shortcut—the very same password we’ve used for years in other places, tweaked just enough to meet the bare minimum requirements, likely written down somewhere.
Alright, let’s say we do this for organizational routines where forgetting a password is a hassle, because there are compliance policies to navigate, reset procedures to follow, and IT support to involve. In a bureaucratic work setting like that, reusing an easy-to-remember password makes a certain kind of sense. We, however, carry the same behavior into our personal lives too, where support is limited and the consequences of a breach can be far more personal, yet we often choose convenience over security.
We know password reuse is bad. So, why do we still do it?
Organizations tend to overlook this underlying behavioral pattern and instead respond by piling on layers of compliance training and rigid security protocols over already burdensome password routines. This is because they often choose to treat password misbehavior by their workforce as a knowledge problem. They assume that if employees knew better, they’d practice better password hygiene.
That’s just not it. This behavior is due to deeply hard-coded cognitive biases that drive us towards making decisions that express our wariness towards anything that falls beyond the boundaries of the familiar.
Bounded rationality
Just enough is good enough.
The concept suggests that when people are bounded by limits such as time, information, and cognitive resources, they don’t seek to make the perfect decision, but rather choose to settle with a satisfactory one.
We aren’t trying to get security wrong. We are simply trying to get our job done. Managing passwords is mentally exhausting, so we settle for shortcuts like browser autofill or reused passwords. It is not laziness. It’s simply an efficient trade-off in our mental cost benefit calculation.
Availability heuristic
If I remember it, it must be right.
This cognitive bias suggests that people verify the integrity or truth of something based on how easily they can recall an example or piece of information to justify it. The more recent or personal it is, the more integral or secure people feel regardless of actual evidence.
We manage passwords the same way we manage memories: by leaning on what’s easiest to recall. So, we stick with variations of the same password or reuse ones from other accounts. We don’t choose these passwords because they are secure, which they aren’t, but because they are cognitively available. We equate memorability with safety, even when that makes us more vulnerable.
Loss aversion
I’d rather not lose access than make it more secure.
This cognitive principle refers to the fact that people feel the pain of loss more vividly than they feel the pleasure of potential gains.
For many users, the fear of being locked out feels more immediate than the risk of a cyberattack. This anxiety drives habits like writing passwords down, reusing passwords from personal accounts, or using system defaults. It is not that people do not understand the risks. It is that the need for uninterrupted access often outweighs the promise of long-term protection.
Expecting perfect decisions from a workforce in imperfect circumstances often proves futile. If secure behavior feels like a burden, it means the system wasn’t built with people in mind. While security practices could be inculcated with a training video, the buck does not stop there.
Bridging the gap between the familiar and the secure
To truly support secure behavior at scale, organizations must take the burden of password management out of employees’ hands. Organizations need to reduce the likelihood of human error and bypass the biases that lead to password fatigue, reuse, or insecure storage. The best way to prevent risky password behavior is to remove the need for passwords altogether.
Adoption of authentication tools that allow the use of passkeys, SSO, and magic links remove the friction points where users typically falter.
Passkeys are a shift in default behavior. Instead of forcing users to recall or manage credentials, passkeys use device-bound cryptographic keys that sync securely across devices. In places where passkeys can’t be applied, SSO can be enabled for cross-organzational access. SSO streamlines access across platforms with a single credential or authentication touchpoint. By centralizing login, users aren’t juggling dozens of entry points.
To further eliminate the biases that interfere with password management, organizations can take advantage of the use of passkey-enabled vaults that take away the need for password management by the individual. Once these systems are in place, organizations can then, with training that enables value-based engagement, show employees how these systems make security go hand-in-hand with productivity.
These upgrades bypass bounded rationality by removing the mental strain of managing access under pressure because the fewer decisions people need to make, the fewer chances they have to settle for whatever gets them through the day. And when there’s nothing to remember, the availability bias has no room to work its illusion. The choice disappears, therefore so does the risk. For users who fear getting locked out more than being breached, this is a shift that matters, because now they get security without sacrificing access.
So when an organization adopts such controls that take away the dependency on the user’s cognitive biases, they’re not just deploying a security measure. They’re making a behavioral intervention. They’re eliminating the decision points where things go wrong, where people choose what’s easy, not what’s right.
Ensuring policy keeps pace with tech
The transition to a truly secure enterprise can’t rely on technology alone. It must also be reflected at a policy level. Traditional access sharing when it comes to privileged access to critical systems often leaves gaps. For example, in instances when there are scheduled maintenance tasks to be performed on critical domain endpoints, employees rely on shared credentials or manual approval processes, where cognitive shortcuts lead to over-permissioned accounts and stagnant access rights.
To counter this, organizations are increasingly turning to passwordless access sharing through privileged access management solutions. These solutions streamline the process by automatically granting, revoking, and auditing access based on predefined policies. PAM solutions ensure that every access is just in time and precisely scoped, removing the need for human intervention.
Yet, even the best technical solutions can’t overcome a misaligned policy.
In this context, artificial intelligence steps in as a crucial enabler at the policy layer. IT administrators who are meant to supervise privileged access are also human and also go through similar cognitive biases, which would allot access based on previous instances. However, sometimes privileged users might have permissions that they have never used, which might slip under the radar, leading to standing privileges.
When artificial intelligence is introduced at this juncture to suggest dynamic privileged access policies based on real-time risk assessments and to detect anomalous behavior, it tends to these unnecessary cognitive interferences.
Recognizing the absurdity in enterprise password management
In The Myth of Sisyphus, Albert Camus tells an absurd story of a man condemned to push a boulder uphill forever, only to watch it roll back down each time. Camus uses this image to explore how, even in repetitive and seemingly meaningless tasks, we search for purpose.
In many ways, our daily interactions with security protocols, be it passwords, login prompts, phishing drills, and compliance checklists, feel a lot like Sisyphus’ burden. We’re expected to stay alert, follow a growing list of rules, and keep up with our actual work. But people don’t function well under constant pressure. Over time, fatigue kicks in, habits take over, and we look for workarounds, not because we don’t care, but because it’s human nature.
The solution is not to add more complexity; it’s to rethink the system. Tools like passkeys, SSO, PAM, and AI do not just improve security. They’re philosophical corrections. They relieve the individual of this absurdity. In doing so, the boulder vanishes, and what remains is a system designed to reflect the reality of people’s thought processes and cognitive capacities.