Einsicht und Verständnis der Nutzer

Jedoch nicht nur die Fähigkeiten, sondern auch die Einsicht der Nutzer spielt eine entscheidende Rolle im Umgang mit Passwörtern. So befolgen Nutzer, trotz intensiver Bemühungen der Systemadministratoren mittels Schulungen, Aufklärung und Trainingsprogramme oder auch bloßer Empfehlungen und Regeln bewusst nicht die geforderten Merkmale. Teils fühlen sich die Teilnehmer dieser Seminare schlichtweg nicht von der Problematik betroffen Wahrnehmung der Sicherheit und haben sehen daher keinen Anlass, sich die tägliche Arbeit durch Verwendung komplexerer und schwerer zu merkenden Kennwörter zu erschweren. Andere Mitarbeiter betrachten ihre Rolle widerrum nicht als sicherheitsrelevant und gehen davon aus, dass ihre Passwörter keinen oder nur geringen Einfluss auch die Sicherheit des Gesamtsystems hat. So sind im Extremfall sogar unsichere Standardeingaben wie 'passwort', 'test' oder '123' vorzufinden, die trotz ihres offensichtlichen Mangels an Sicherheit in vielen Systemen von unaufgeklärten oder aber uneinsichtigen Nutzern verwendet werden.

Die Ursache liegt zudem in der meist zeitaufwendigen Wiederherstellung der Zugangsdaten, wozu der zuständige Systemadministrator kontaktiert und informiert werden muss. Dies ist oftmals nur innerhalb bestimmter Zeiten möglich und verursacht bei bürokratisch organisierten Unternehmen einen hohen Overhead, da sowohl die Arbeitszeit des Systemtechniker als auch der eigene Arbeitsausfall Folge der vergessenen Zeichenkette ist. Dies sowie der verbundene Prestigeverlust und Erklärungsnot des Anwenders, ist den Benutzern eine ausreichende Begründung für die Niederschrift ihrer Kennwörter.

Das Zusammenwirken von Authentifizierungsmethoden mit der praktischen Arbeitsweise der Mitarbeiter gibt weiteren Aufschluss über die Akzeptanz oder Ablehnung implementierter Maßnahmen. Die Organisation, insb. die Unterscheidung der Arbeitsweise, haben großen Einfluss auf den vorgeschriebenen Umgang mit Passwörter. So sind individuelle Passwörter ungeeignet für Teamarbeiten und werden oftmals mit Gruppenmitgliedern getauscht um den erforderlichen Informationsaustausch zu fördern. Die Sicherheitstechnischen Vorgaben werden hingegen als inkompatibel mit der zu erledigenden Arbeit betrachtet.

Während die Umsetzung der Sicherheitsregelungen im militärischen Bereich auf Grund der straffen Befehlsstruktur problemlos realisierbar ist, werden sie modernen Arbeitsweisen im Dienstleistungssektor nicht gerecht. Die Einführung von Richtlinien und Vorschriften müssen den Benutzern daher erläutert und begründet werden (need-to-know principle), um auf Akzeptanz zu stoßen. Ohne die Erklärung der möglichen Konsequenzen kompromitierter Passworte, fehlt den Nutzern andernfalls das Verständnis für den Mehraufwand durch die Verwaltung sicher Kennwörter.