Get best of the week

Por que conveniência versus segurança não é uma desvantagem

Desde 2014, trabalho na segurança de aplicativos móveis e da web. Ouvi muitas vezes de pessoas diferentes e em contextos diferentes sobre o “compromisso entre usabilidade e segurança” e, desde o início, vi isso como uma espécie de problema. Neste post, compartilharei minha opinião sobre por que, na minha opinião, isso não é uma troca e, de fato, deve ser abandonado por um longo tempo.

imagem

O que é isso


Usabilidade versus troca de segurança geralmente significa o seguinte padrão: quanto mais seguro o processo, mais inconveniente ele é.

imagem

Vou explicar com exemplos simples o que se entende:

  • A senha qwerty é conveniente, insegura. Uma senha longa com caracteres diferentes é segura e inconveniente.
  • A execução imediata do código na produção é conveniente, insegura. Verificá-lo com ferramentas de segurança e realizar uma auditoria é seguro, inconveniente.
  • Atravessar a rua sempre que quiser é conveniente, inseguro. Atravessar a rua para ficar verde é seguro, desconfortável.
  • Como você pode ver, podemos falar não apenas sobre software, mas sob "conveniência" vários parâmetros podem ser ocultados. No entanto, o padrão é óbvio.

O que poderia dar errado


Na prática, o usuário geralmente não está pronto para aceitar a inconveniência e substitui o processo "seguro, desconfortável" por "inseguro, menos inconveniente":

imagem


Um processo inconveniente seguro não dará segurança se não for usado. A dificuldade é que não podemos decidir para o usuário o que fazer. Podemos oferecer um processo que achamos certo. Seguir ou não esse processo é a escolha do usuário.

O que fazer


Primeiro de tudo, você precisa voltar para a floresta e para o usuário na frente. É estranho até oferecer ao usuário um processo "seguro e desconfortável", porque nosso trabalho é organizar um processo conveniente. Vamos desistir da ideia de que, para obter segurança, precisamos sacrificar a usabilidade e tentar combiná-los em uma solução.

imagem

Nossos exemplos terão o seguinte formato:

  • . -. , .
  • , , , . . , .
  • , .

Para obter esse resultado, tivemos que abandonar o pensamento arrogante de que o usuário, por sua estupidez, recusa uma solução segura. Pelo contrário, o usuário, por sua racionalidade, escolhe a solução mais conveniente para ele. E nossa tarefa é torná-lo seguro.

A mentalidade correta


A idéia de que segurança não é combinada com usabilidade ainda é ouvida com bastante frequência. Alguns vão além e afirmam que um processo verdadeiramente seguro será sempre inconveniente, o que significa que ele está disponível apenas para especialistas. Eu acho que essa abordagem é fundamentalmente errada.

A segurança é um mercado de massa. Você não pode ter certeza da segurança de suas redes sociais se seus amigos tiverem uma senha qwerty: um invasor escreverá para você em seu nome e seu dinheiro estará em perigo. Portanto, maneiras seguras de armazenar senhas (assim como outras tarefas) devem estar acessíveis ao usuário médio.

Gradualmente, cada vez mais a responsabilidade recai sobre aplicativos móveis e da Web: todo mundo tem aplicativos bancários em smartphones e alguém tem carteiras criptográficas. Só podemos impedir a perda estúpida e ofensiva de fundos se pensarmos inicialmente em segurança e conveniência como coisas complementares. Um processo inconveniente não pode ser seguro porque o usuário não o seguirá.

Postado por Ivan Ivanitsky, analista líder, Solar appScreener

Source: https://habr.com/ru/post/undefined/

More articles:


All Articles