Get best of the week

لماذا الراحة مقابل الأمن ليست مقايضة

منذ عام 2014 ، أعمل على أمن تطبيقات الهاتف المحمول والويب. سمعت مرات عديدة من أشخاص مختلفين وفي سياقات مختلفة حول "قابلية الاستخدام مقابل المقايضة الأمنية" ، ومنذ البداية رأيت هذا نوعًا من الصيد. في هذا المنشور سوف أشارك رأيي حول لماذا ، في رأيي ، هذه ليست مفاضلة ، وفي الواقع يجب التخلي عنها لفترة طويلة.

صورة

ما هذا


عادةً ما تعني المقايضة القابلة للاستخدام مقابل الأمان النمط التالي: كلما كانت العملية أكثر أمانًا ، كلما كانت أكثر إزعاجًا.

صورة

سأشرح بأمثلة بسيطة ما هو المقصود:

  • كلمة مرور qwerty مريحة وغير آمنة. كلمة المرور الطويلة بأحرف مختلفة آمنة وغير ملائمة.
  • إن تشغيل الكود على الفور في الإنتاج أمر مريح وغير آمن. إن التحقق من ذلك باستخدام أدوات الأمان وإجراء المراجعة أمر آمن وغير مريح.
  • يعد عبور الشارع وقتما تشاء مناسبًا وغير آمن. عبور الشارع إلى اللون الأخضر أمر آمن وغير مريح.
  • كما ترون ، يمكننا التحدث ليس فقط عن البرامج ، ولكن يمكن إخفاء العديد من المعلمات المختلفة تحت عنوان "الملاءمة". ومع ذلك ، فإن النمط واضح.

ما يمكن أن يحدث خطأ


من الناحية العملية ، غالبًا ما يكون المستخدم غير مستعد لقبول الإزعاج ويستبدل عملية "آمنة وغير مريحة" بـ "غير آمنة وأقل إزعاجًا":

صورة


لن تعطي عملية الإزعاج الآمنة الأمان إذا لم يتم استخدامها. تكمن الصعوبة في أننا لا نستطيع أن نقرر للمستخدم ما يجب فعله. يمكننا أن نقدم عملية نعتقد أنها صحيحة. اختيار المستخدم أم لا متابعة هذه العملية.

ماذا أفعل


بادئ ذي بدء ، تحتاج إلى العودة إلى الغابة ، وإلى المستخدم في المقدمة. من الغريب أن نقدم للمستخدم عملية "آمنة وغير مريحة" ، لأن مهمتنا هي تنظيم عملية مريحة. دعونا نتخلى عن فكرة أنه من أجل الحصول على الأمان ، نحتاج إلى التضحية بقابلية الاستخدام ، ومحاولة الجمع بينها في حل واحد.

صورة

ستأخذ أمثلةنا الشكل التالي:

  • . -. , .
  • , , , . . , .
  • , .

للحصول على مثل هذه النتيجة ، كان علينا أن نتخلى عن الفكر المتغطرس بأن المستخدم ، بغباءه ، يرفض الحل الآمن. على العكس ، يختار المستخدم ، بسبب عقلانيته ، الحل الأكثر ملاءمة له. ومهمتنا هي جعلها آمنة.

العقلية الصحيحة


لا تزال فكرة أن الأمن لا يقترن بقابلية الاستخدام مسموعة في كثير من الأحيان. يذهب البعض إلى أبعد من ذلك ويصرحون بأن عملية آمنة حقًا ستكون دائمًا غير ملائمة ، مما يعني أنها متاحة فقط للمتخصصين. أعتقد أن هذا النهج خاطئ بشكل أساسي.

الأمن سوق جماعي. لا يمكنك التأكد من سلامة الشبكات الاجتماعية الخاصة بك إذا كان لأصدقائك كلمة مرور qwerty: سيكتب لك مهاجم نيابة عنهم وستكون أموالك في خطر. وبناءً على ذلك ، يجب أن يكون الوصول إلى طرق آمنة لتخزين كلمات المرور (بالإضافة إلى المهام الأخرى) متاحًا للمستخدم العادي.

تدريجياً ، تقع مسؤولية متزايدة على تطبيقات الهاتف المحمول والويب: كل شخص لديه تطبيقات مصرفية في الهواتف الذكية ، وشخص آخر لديه محافظ تشفير. لا يمكننا منع الخسارة الغبية والهجومية للأموال إلا إذا فكرنا في البداية في الأمن والراحة كأشياء مكملة. لا يمكن أن تكون العملية غير الملائمة آمنة لأن المستخدم لن يتبعها.

تم النشر بواسطة إيفان إيفانيتسكي ، محلل رئيسي ، شاشة التطبيقات الشمسية

Source: https://habr.com/ru/post/undefined/

More articles:


All Articles