Get best of the week

¿Por qué la conveniencia frente a la seguridad no es una compensación?

Desde 2014, he estado trabajando en la seguridad de aplicaciones móviles y web. Muchas veces escuché de diferentes personas y en diferentes contextos acerca de la "relación entre usabilidad y seguridad", y desde el principio lo vi como una especie de trampa. En esta publicación compartiré mi opinión sobre por qué, en mi opinión, esto no es una compensación, y de hecho debería abandonarse durante mucho tiempo.

imagen

Lo que es


El intercambio entre usabilidad y seguridad generalmente significa el siguiente patrón: cuanto más seguro es el proceso, más inconveniente es.

imagen

Explicaré con ejemplos simples lo que significa:

  • La contraseña qwerty es conveniente, insegura. Una contraseña larga con diferentes caracteres es segura, inconveniente.
  • Ejecutar el código inmediatamente en producción es conveniente, inseguro. Verificarlo con herramientas de seguridad y realizar una auditoría es seguro, inconveniente.
  • Cruzar la calle cuando lo desee es conveniente, inseguro. Cruzar la calle hacia el verde es seguro, incómodo.
  • Como puede ver, podemos hablar no solo sobre software, sino que bajo "conveniencia" se pueden ocultar varios parámetros. Sin embargo, el patrón es obvio.

Qué puede salir mal


En la práctica, el usuario a menudo no está listo para aceptar las molestias y reemplaza el proceso "seguro, incómodo" por "inseguro, menos incómodo":

imagen


Un proceso inocuo y seguro no dará seguridad si no se usa. La dificultad es que no podemos decidir por el usuario qué hacer. Podemos ofrecer un proceso que creemos que es correcto. La decisión del usuario es seguir o no este proceso.

Qué hacer


En primer lugar, debe volver al bosque y al usuario que está al frente. Es extraño incluso ofrecer al usuario un proceso "seguro e incómodo", porque nuestro trabajo es organizar uno conveniente. Renunciemos a la idea de que para obtener seguridad, debemos sacrificar la usabilidad e intentar combinarlos en una solución.

imagen

Nuestros ejemplos tomarán la siguiente forma:

  • . -. , .
  • , , , . . , .
  • , .

Para obtener tal resultado, tuvimos que abandonar el pensamiento arrogante de que el usuario, por su estupidez, rechaza una solución segura. Por el contrario, el usuario, debido a su racionalidad, elige la solución que le resulte más conveniente. Y nuestra tarea es hacerla segura.

La mentalidad correcta


La idea de que la seguridad no se combina con la usabilidad todavía se escucha con bastante frecuencia. Algunos van más allá y afirman que un proceso verdaderamente seguro siempre será inconveniente, lo que significa que está disponible solo para especialistas. Creo que este enfoque es fundamentalmente incorrecto.

La seguridad es un mercado masivo. No puedes estar seguro de la seguridad de tus redes sociales si tus amigos tienen una contraseña qwerty: un atacante te escribirá en su nombre y tu dinero estará en peligro. En consecuencia, las formas seguras de almacenar contraseñas (así como otras tareas) deben ser accesibles para el usuario promedio.

Gradualmente, cada vez más responsabilidad recae en las aplicaciones móviles y web: todos tienen aplicaciones bancarias en teléfonos inteligentes, y alguien más tiene billeteras criptográficas. Podemos evitar la pérdida estúpida y ofensiva de fondos solo si inicialmente pensamos en la seguridad y la conveniencia como cosas complementarias. Un proceso inconveniente no puede ser seguro porque el usuario no lo seguirá.

Publicado por Ivan Ivanitsky, analista principal, Solar AppScreener

Source: https://habr.com/ru/post/undefined/

More articles:


All Articles