Get best of the week

Mengapa kenyamanan vs keamanan bukanlah kompromi

Sejak 2014, saya telah mengerjakan keamanan aplikasi seluler dan web. Berkali-kali saya mendengar dari orang yang berbeda dan dalam konteks yang berbeda tentang "pertukaran manfaat vs keamanan", dan sejak awal saya melihat ini sebagai semacam tangkapan. Dalam posting ini saya akan membagikan pendapat saya tentang mengapa, menurut pendapat saya, ini bukan tradeoff, dan pada kenyataannya harus ditinggalkan untuk waktu yang lama.

gambar

Apa itu


Kegunaan vs tradeoff keamanan biasanya berarti pola berikut: semakin aman prosesnya, semakin tidak nyaman.

gambar

Saya akan menjelaskan dengan contoh sederhana apa yang dimaksud:

  • Kata sandi qwerty nyaman, tidak aman. Kata sandi yang panjang dengan karakter yang berbeda aman, tidak nyaman.
  • Menjalankan kode segera dalam produksi itu nyaman, tidak aman. Memeriksanya dengan alat keamanan dan melakukan audit adalah aman, tidak nyaman.
  • Menyeberang jalan kapan pun Anda inginkan itu nyaman, tidak aman. Menyeberang jalan menuju hijau adalah aman, tidak nyaman.
  • Seperti yang Anda lihat, kita dapat berbicara tidak hanya tentang perangkat lunak, tetapi di bawah "kenyamanan" berbagai parameter dapat disembunyikan. Namun demikian, polanya jelas.

Apa yang bisa salah


Dalam praktiknya, pengguna sering tidak siap menerima ketidaknyamanan dan mengganti proses "aman, tidak nyaman" dengan "tidak aman, kurang nyaman":

gambar


Proses yang tidak nyaman dan aman tidak akan memberikan keamanan jika tidak digunakan. Kesulitannya adalah kita tidak bisa memutuskan untuk pengguna apa yang harus dilakukan. Kami dapat menawarkan proses yang kami anggap benar. Apakah mengikuti atau tidak proses ini adalah pilihan pengguna.

Apa yang harus dilakukan


Pertama-tama, Anda harus kembali ke hutan, dan ke pengguna di depan. Sungguh aneh bahkan menawarkan kepada pengguna proses yang "aman, tidak nyaman", karena tugas kami adalah mengatur yang nyaman. Mari kita menyerah gagasan bahwa untuk mendapatkan keamanan kita perlu mengorbankan kegunaan, dan mencoba menggabungkan mereka dalam satu solusi.

gambar

Contoh kami kemudian akan mengambil bentuk berikut:

  • . -. , .
  • , , , . . , .
  • , .

Untuk mendapatkan hasil seperti itu, kami harus meninggalkan pemikiran sombong bahwa pengguna, dengan kebodohannya, menolak solusi yang aman. Sebaliknya, pengguna, karena rasionalitasnya, memilih solusi yang lebih nyaman baginya. Dan tugas kita adalah membuatnya aman.

Pola pikir yang benar


Gagasan bahwa keamanan tidak dikombinasikan dengan kegunaan masih cukup sering terdengar. Beberapa melangkah lebih jauh dan membuat pernyataan bahwa proses yang benar-benar aman akan selalu merepotkan, yang berarti hanya tersedia untuk spesialis. Saya pikir pendekatan ini secara fundamental salah.

Keamanan adalah pasar massal. Anda tidak dapat memastikan keamanan jaringan sosial Anda jika teman-teman Anda memiliki kata sandi qwerty: penyerang akan menulis surat kepada Anda atas nama mereka dan uang Anda akan dalam bahaya. Karenanya, cara aman menyimpan kata sandi (serta tugas-tugas lain) harus dapat diakses oleh pengguna biasa.

Secara bertahap, semakin banyak tanggung jawab jatuh pada aplikasi seluler dan web: setiap orang memiliki aplikasi perbankan di telepon pintar, dan orang lain memiliki dompet crypto. Kita dapat mencegah kehilangan dana yang bodoh dan ofensif hanya jika kita awalnya menganggap keamanan dan kenyamanan sebagai hal yang saling melengkapi. Proses yang tidak nyaman tidak dapat aman karena pengguna tidak akan mengikutinya.

Diposting oleh Ivan Ivanitsky, Analis Utama, Solar appScreener

Source: https://habr.com/ru/post/undefined/

More articles:


All Articles