为什么便利与安全不是折衷的选择
自2014年以来,我一直致力于移动和Web应用程序的安全性。我从不同的人和不同的环境中多次听到关于“可用性与安全性的权衡”的信息,从一开始我就将其视为一种陷阱。在这篇文章中,我将分享我的意见,为什么我认为这不是一个权衡取舍,实际上,它应该长期放弃。
这是什么
可用性与安全性之间的权衡通常意味着以下模式:过程越安全,就越不方便。
我将通过简单的示例解释其含义:- qwerty密码方便,不安全。带有不同字符的长密码是安全,不便的。
- 在生产中立即运行代码是方便,不安全的。使用安全工具进行检查并进行审核是安全,不便的。
- 随时随地过马路既方便又不安全。过马路到绿色是安全的,不舒服的。
- 如您所见,我们不仅可以谈论软件,而且可以在“方便”之下隐藏各种参数。然而,这种模式是显而易见的。
可能出什么问题了
在实践中,用户通常不准备接受不便之处,而将“安全,不舒适”过程替换为“不安全,不那么麻烦”:
- , -. - plain text , . , , .
- . , , , . .
- , , , .
如果不使用安全,不便的过程将不会提供安全性。困难在于我们无法为用户决定要做什么。我们可以提供我们认为正确的流程。用户可以选择是否遵循此过程。该怎么办
首先,您需要转到目录林以及前面的用户。甚至为用户提供“安全,舒适”的流程也很奇怪,因为我们的工作是组织一个方便的流程。让我们放弃这样的想法:为了获得安全性,我们需要牺牲可用性,并尝试将它们组合在一个解决方案中。
然后,我们的示例将采用以下形式:为了获得这样的结果,我们不得不放弃傲慢的想法,即用户由于其愚蠢而拒绝了安全的解决方案。相反,用户由于他的合理性,选择了对他来说更方便的解决方案。我们的任务是使其安全。正确的心态
安全性与可用性没有结合的想法仍然经常听到。有些人走得更远,声称真正安全的过程总是很不方便,这意味着只有专家才能使用。我认为这种方法从根本上是错误的。安全是一个大众市场。如果您的朋友使用qwerty密码,您将无法确保社交网络的安全:攻击者将代表他们写信给您,您的资金有危险。因此,普通用户应该可以安全地存储密码(以及其他任务)。逐渐地,越来越多的责任落在移动和Web应用程序上:每个人在智能手机中都有银行应用程序,而其他人则拥有加密钱包。仅当我们最初将安全性和便利性视为补充性内容时,我们才能防止愚蠢的进攻性资金损失。不方便的过程并不安全,因为用户将不会遵循它。由Solar appScreener首席分析师Ivan Ivanitsky发布 Source: https://habr.com/ru/post/undefined/
All Articles