Get best of the week

Warum Bequemlichkeit gegen Sicherheit kein Kompromiss ist

Seit 2014 beschäftige ich mich mit der Sicherheit von Mobil- und Webanwendungen. Oft hörte ich von verschiedenen Menschen und in verschiedenen Kontexten über den „Kompromiss zwischen Benutzerfreundlichkeit und Sicherheit“, und von Anfang an sah ich dies als eine Art Haken. In diesem Beitrag werde ich meine Meinung darüber teilen, warum dies meiner Meinung nach kein Kompromiss ist und tatsächlich für eine lange Zeit aufgegeben werden sollte.

Bild

Was ist das


Kompromiss zwischen Benutzerfreundlichkeit und Sicherheit bedeutet normalerweise das folgende Muster: Je sicherer der Prozess ist, desto unpraktischer ist er.

Bild

Ich werde anhand einfacher Beispiele erklären, was gemeint ist:

  • Das QWERTY-Passwort ist bequem und unsicher. Ein langes Passwort mit verschiedenen Zeichen ist sicher und unpraktisch.
  • Das sofortige Ausführen des Codes in der Produktion ist bequem und unsicher. Die Überprüfung mit Sicherheitstools und die Durchführung eines Audits ist sicher und unpraktisch.
  • Das Überqueren der Straße, wann immer Sie wollen, ist bequem und unsicher. Das Überqueren der Straße zum Grün ist sicher und unangenehm.
  • Wie Sie sehen können, können wir nicht nur über Software sprechen, sondern unter "Bequemlichkeit" können verschiedene Parameter ausgeblendet werden. Trotzdem ist das Muster offensichtlich.

Was könnte schiefgehen


In der Praxis ist der Benutzer häufig nicht bereit, die Unannehmlichkeiten zu akzeptieren, und ersetzt den "sicheren, unangenehmen" Prozess durch "unsicher, weniger unangenehm":

Bild


Ein sicherer, unbequemer Prozess bietet keine Sicherheit, wenn er nicht verwendet wird. Die Schwierigkeit besteht darin, dass wir für den Benutzer nicht entscheiden können, was zu tun ist. Wir können einen Prozess anbieten, den wir für richtig halten. Ob dieser Prozess ausgeführt werden soll oder nicht, entscheidet der Benutzer.

Was zu tun ist


Zunächst müssen Sie sich wieder der Gesamtstruktur und dem Benutzer vor Ihnen zuwenden. Es ist seltsam, dem Benutzer sogar einen "sicheren, unangenehmen" Prozess anzubieten, da es unsere Aufgabe ist, einen bequemen zu organisieren. Lassen Sie uns die Idee aufgeben, dass wir, um Sicherheit zu erhalten, die Benutzerfreundlichkeit opfern und versuchen müssen, sie in einer Lösung zu kombinieren.

Bild

Unsere Beispiele haben dann die folgende Form:

  • . -. , .
  • , , , . . , .
  • , .

Um ein solches Ergebnis zu erzielen, mussten wir den arroganten Gedanken aufgeben, dass der Benutzer aufgrund seiner Dummheit eine sichere Lösung ablehnt. Im Gegenteil, der Benutzer wählt aufgrund seiner Rationalität die für ihn bequemere Lösung. Und unsere Aufgabe ist es, es sicher zu machen.

Die richtige Einstellung


Die Idee, dass Sicherheit nicht mit Benutzerfreundlichkeit verbunden ist, wird immer noch häufig gehört. Einige gehen noch weiter und erklären, dass ein wirklich sicherer Prozess immer unpraktisch sein wird, was bedeutet, dass er nur Spezialisten zur Verfügung steht. Ich denke, dieser Ansatz ist grundsätzlich falsch.

Sicherheit ist ein Massenmarkt. Sie können sich der Sicherheit Ihrer sozialen Netzwerke nicht sicher sein, wenn Ihre Freunde ein QWERTY-Passwort haben: Ein Angreifer schreibt Ihnen in ihrem Namen und Ihr Geld ist in Gefahr. Dementsprechend sollten sichere Möglichkeiten zum Speichern von Passwörtern (sowie anderer Aufgaben) für den durchschnittlichen Benutzer zugänglich sein.

Allmählich fällt immer mehr Verantwortung auf Mobil- und Webanwendungen: Jeder hat Bankanwendungen auf Smartphones, und jemand anderes hat Krypto-Geldbörsen. Wir können dumme und beleidigende Geldverluste nur verhindern, wenn wir Sicherheit und Zweckmäßigkeit zunächst als komplementäre Dinge betrachten. Ein unbequemer Prozess kann nicht sicher sein, da der Benutzer ihm nicht folgt.

Gepostet von Ivan Ivanitsky, Lead Analyst, Solar AppScreener

Source: https://habr.com/ru/post/undefined/

More articles:


All Articles