Dieser Artikel wurde maschinell übersetzt.

Fangen Sie bitte nicht mit diesem Thema an

Wenn Sicherheit nicht sinnvoll

David Platt

Ich gerade lesen wirklich brillanten Forschungspapier, "So Long und Nein Danke für die externen Effekte: die rationale Ablehnung von Sicherheitsempfehlungen von Benutzern," von Cormac Herley von Microsoft Research. Jeder einer von euch muss die ganze Sache zu lesen, die online unter ist bit.ly/lZZsyr.

Wie oft haben wir angesichts Benutzer Sicherheitsanweisungen und ließ sie uns ignorieren? Und dann haben wir verrückt, wenn unsere schöne Sicherheitscode Verluste verhindern nicht, weil die Benutzer tun würde nicht was wir ihnen erzählt? Schlecht, naughty Nutzer, sagten wir. Es ist Ihre eigene dumme Fehler bekamen Sie verletzt.

Falsch. Es ist unsere Schuld für sie Dinge tun, die wir wusste oder hätte wissen müssen, dass sie tun würde nicht sagen.

Je nach Herley werden Benutzer, die unsere Sicherheitsanweisungen ignorieren rational aus ihrer Sicht. Berechnen sie unbewusst, dass die ständigen Bemühungen, die wir fordern von ihnen sind größer als die selten (wenn auch größere) Verluste zu ihnen, wenn sie nicht unseren Anweisungen folgen. Sie entscheiden dann rational, uns zu ignorieren. Herley schreibt: "betrachten einen Exploit, der jährlich 1 % der Benutzer auswirkt, und sie verschwenden 10 Stunden Aufräumen, wenn sie Opfer werden. Alle Sicherheitsempfehlungen sollten eine tägliche Belastung von nicht mehr als 0,98 Sekunden pro Benutzer zur reduzieren, anstatt Sie zu erhöhen den [Total] Benutzerzeit verbraucht platzieren. Dies erzeugt die tief greifende Ironie, die viel Sicherheitshinwe is nicht nur mehr schadet als nützt (und daher abgelehnt wird), aber mehr schadet als die Angriffe, die es zu verhindern versucht, und nicht zu tun, nur weil es Benutzer ignorieren." Eine Unze der Heilung ist nicht im Wert von fünf Pfund der Prävention.

Ein Benutzer wird nur so viel Sicherheits-(oder andere) Overhead tolerieren, bevor er Ihr Produkt gibt oder, dieses Problem zu umgehen herausfindet. Ich nenne diesen Betrag des Benutzers "Aufwand Budget," ein Begriff, die ich in meinem Buch, "Warum Software Sucks" (Addison-Wesley Professional, 2006) geprägt.

Beispiel: Genommen Sie an, Ihr Vermieter ein Zahlenschloss auf der Badezimmertür in Ihrer Wohnung zu setzen. Was würden Sie tun? Sie würde die Kombination der ersten Zeit und vielleicht die zweite, aber definitiv nicht die dritte eingeben. Danach finden Sie eine Art der Problemumgehung — Sie die Tür offen stützen würde, Sie hatte Band hinunter den Riegel, so es würden nicht sperren oder Sie würden Sie sich in die Spüle entlasten.

Vor kurzem sah ich ein Web-Artikel mit dem Titel "37 Tipps zu verhindern, dass ID-Diebstahl-Online." Wenn ich habe zu erinnern, 37 verschiedene Elemente um so meine Identität online zu schützen, können die bösen Jungs die verdammen Sache haben.

Herley gilt strenge Kosten-Nutzen-Analyse für solche gemeinsamen Sicherheitsmethoden als regelmäßig ändern von Kennwörtern. Sind Sie etwas sicherer, wenn Sie dies, aber wie viel tun? Und ist, dass mehr oder weniger als die Kosten für die Zeit, dass Sie verbringen sie ändern und die Verfolgung der ihnen? Sie erhalten wahrscheinlich bessere Ergebnisse, wenn Sie verbringen ein Benutzer Aufwand Budget um sicherzustellen, dass sein initial-Passwort stark ist, statt auf periodische Änderungen.

Ich habe viele Sicherheitshinweise gesehen, aber dies ist das erste Mal ich gesehen habe, wer die Kosten für die folgenden vergleichen, die Beratung mit den Schaden, der dadurch vermieden. Wenn Sie beginnen, die beiden zusammen, ergibt sich ein viel differenzierteres Bild. Sie können es nur verstehen, wenn Sie sich in Ihrem-Schuhe stellen – Wenn Sie wissen, Deine Benutzer, denn er ist nicht Thee. (Wo habe ich schon gehört?)

Ich werde Sie mit diesem letzten Gedanken aus Herley, lassen die ich doch sehr hoffe, Sie lesen, seine gesamte Papier überzeugt:

"Es gibt etwa 180 Millionen online Erwachsene in den USA An zweimal der US Mindestlohn, eine Stunde von Benutzerzeit ist dann im Wert von €7.25 x 2 x 180e6 = 2,6 Milliarden Dollar. … Wir schlagen vor, dass der Hauptgrund Sicherheitsempfehlungen wird ignoriert, dass es eine enorme Fehlkalkulation macht: Es behandelt, als eine Ressource freigeben, die tatsächlich im Wert von 2,6 Milliarden Dollar eine Stunde ist. Es ist nicht ungewöhnlich, Benutzer als faul oder nur ungern zu betrachten. Ein besseres Verständnis der Situation möglicherweise entstehen wenn wir den Benutzer angesehen als Profi, die Rechnungen auf 2,6 Mrd. USD pro Stunde, und deren Zeit ist viel zu wertvoll, um für unnötige Details verschwendet werden."

David S. Platt unterrichtet Programmierung.NET im Harvard University Extension School und bei Firmen überall auf der Welt. Er ist der Autor von 11 Programmierung Bücher, einschließlich "Warum Software Sucks" (Addison-Wesley Professional, 2006) und "Introducing Microsoft."NET" (Microsoft Press, 2002). Microsoft wurde er von einer Software-Legende im Jahr 2002. Er fragt sich, ob er zwei seiner Tochter Finger Band sollte, so dass sie wie lernt man oktale zählen. Können Sie ihn in rollthunder.com.