<div dir="ltr">Initial findings of the 10 participants. Mark, when I refer to Word/Excel files as  "tangible" I mean to say that they are in a format that the users understands, trusts and can easily access. For a typical user, losing a list of logins represents losing a weekend to password reset flow, or worse. It makes sense that they would resort to the most reliable format they know in a "tangible" form they can move, copy, backup, email, compress, etc.<br><br><div><div><br><div class="gmail_quote">---------- Forwarded message ----------<br>From: <b class="gmail_sendername">Amelia Abreu</b> <span dir="ltr"><<a href="mailto:aabreu@mozilla.com">aabreu@mozilla.com</a>></span><br>Date: Tue, May 12, 2015 at 8:11 PM<br>Subject: password manager research- initial findings<br><br><br><div dir="ltr">Hi all!  <div><br></div><div>I wanted to fill you all in with high-level findings from the Login Problems study. We’ve been in the field for two weeks, with onsite user interviews in Portland and Nashville, and are wrapping up follow-up interviews this week.<br><br>We’ve spent 90 minutes with each of our participants in their homes. During this time, we toured their homes and talked about everyday computing, with an emphasis on logins and passwords. We also asked them to participate in two visual exercises: first, drawing the imagery they associated with a password, then mapping their experience with a particular login. <div><br></div><div>These images are shared in Google Drive: ​​​<br><div class="gmail_chip gmail_drive_chip" style="width:396px;min-height:18px;max-height:18px;background-color:#f5f5f5;padding:5px;color:#222;font-family:arial;font-style:normal;font-weight:bold;font-size:13px;border:1px solid #ddd;line-height:1"><a href="https://docs.google.com/a/mozilla.com/folderview?id=0BxKwTeOmOhVNfkhrdXNCQzF6dUlkZFlVRTNaNTlBbS15R0taay1XYkp0NEFoYXpmT1JHX1U&usp=drive_web" style="display:inline-block;overflow:hidden;text-overflow:ellipsis;white-space:nowrap;text-decoration:none;padding:1px 0px;border:none;width:100%" target="_blank"><img style="vertical-align:bottom;border:none" src="https://ssl.gstatic.com/docs/doclist/images/icon_11_shared_collection_list.png"> <span dir="ltr" style="color:#15c;text-decoration:none;vertical-align:bottom">Password_Drawings</span></a></div>​<br><div><br></div><div>At the conclusion of each visit,  we gave participants a “Login Diary” to complete in the week between initial interview and followup. In the follow ups, we collaborate with the participants in journey mapping a login problem or incident they’ve had in the past week.<br><br>In terms of demographics, we’ve interviewed 10 primary participants (5 per city). In terms of demographics, we’ve interviewed 5 women, 5 men, 2 LBGTQ identified, 2 African-American, 1 Latino/Hispanic. 8 participants have annual household incomes under 100k, 2 above 100k.<br><br>I’ve been joined in the field by Chris Karlof, Caitlin Galimidi and Ally Naaktgeboren in Portland, and Ryan Feeley and Stephen Horlander in Nashville. They have been excellent fieldwork partners, note takers, map navigators, camera wranglers, and thoughtful debriefers, sharing astute research observations, wonderful strategic insights. Also excellent eaters, drinkers, and talkers.  <br><br>Here are some themes that have emerged in research:<br><br><b>Logins, Trust, and Care:</b><br><ul><li>All participants report sharing at least one login and password. Most often, they shared with partners, but also with adult parents and siblings, children, coworkers and others in their close social network.</li><li>Sharing passwords is linked to both trust and care: partners will share logins for accounts that pertain to children and households; adults will share logins with adult parents whose affairs they help to manage (a noteworthy angle into trust and privacy), and some couples talk about sharing logins and passwords the way they’d share other assets in a partnered relationship, and as an indicator of trust. “The only thing we don’t share is a toothbrush”, one participant noted.</li><li>One role we observed in family and relationship dynamics was that of the Family IT Manager. These were usually folks who created accounts and set passwords, often remembering them for family members, in part acting as human password managers.</li><li>A related but separate role was that of Caregiver: someone who provided account support for others (usually adult parents or children) but did not actively set up other IT infrastructure. “I’m tired of my mom calling us and asking what her password is”, said a Portland participant. In these cases, sharing and reusing logins allowed caregivers to easily access information and support family members.<br></li></ul><br><b>Logins, Privacy, Reputation and Security:</b><br><ul><li>Many participants discussed privacy, reputation, data and trust concerns in relationship to social media and online participation, and in direct relationship to their online security. While we often do not link “Security” with these topics in technical discussions, these appear to be corollary in mental models of users.  For example, several participants, when asked how they protected themselves online, mentioned some variation of "Not putting my business out there" with social media. Indeed, risks to one's reputation were seen as a benefit of secure and strong passwords.</li><li>Several participants discussed buying and selling household items online, and the levels of trust, communication, and labor involved. This gave an opportunity to shed light on how participants took concerns about privacy, reputation, sociality, and trust into consideration when interacting and participating online.  For example, several of those involved in buying and selling did so through private Facebook groups, and cited the community ties of the groups as something that made them safer: one belonged to a women-only group based in her suburban community with very clear rules about where and how goods could be exchanged (e.g., in a particular grocery store parking lot). Another, living in a more affluent community, cited "knowing" others participating in buying and selling as a social activity as well as a financially beneficial one.</li></ul><br><b>Levels of Security:</b><br><ul><li>Most participants could identify accounts that they deemed to be “not important” in terms of security and privacy, especially when signing up for new accounts, apps or services, and thus likely to be used with a weak or shared password. This judgment was in contrast to accounts that could be identified as “more important” to keep secure with strong passwords, such as accounts that contained financial or medical information.</li><li>Several participants worked in fields that required them to handle sensitive personal data for other people, e.g. Real Estate, Nursing, HR, and social media management. While all of these participants could attest to the importance of keeping such data secure and private, few drew parallels between their personal data and their professional lives.</li></ul><br><b>Password Management Tools:</b><br><ul><li>Many (8/10) of our participants had some method for storing and remembering passwords digitally that were not “password manager” tools. The most popular tool was a Word doc, followed by an Excel Spreadsheet, and also including paper records. As the Nashville field team noted, a Word doc seems to be the gold standard for trust and usability</li><li>Though only one participant readily identified as a Password Manager user, many used the password management tools in their browsers. We also noticed many instances of “Password Manager Fails”, where passwords remembered in browser were incorrect and thus a source of frustration.</li></ul><br><b>OPPORTUNITIES FOR MOZILLA:</b><br><br>These will be further developed in collaboration with the Password Manager team and iterated in final report-out:<br><ul><li>Personal/family features, with support for Family IT Managers and Caregivers</li><li>Integration with the browser: Offering multiple points of entry to stored passwords, such as desktop access</li><li>Fixing password failures</li><li>Multi-device integration</li></ul><br><b>NEXT STEPS:</b> <br><ul><li>Workshop/Design Session</li><li>Final Journey Map</li><li>Presentation</li></ul></div></div></div></div>
</div><br></div></div></div>