Este artigo foi traduzido por máquina.
Não me deixe começar a falar
Quando a segurança não faz sentido
David Platt
.jpg "David Platt")
Acabei de ler um livro de investigação verdadeiramente brilhante, "So Long e não, obrigado para as externalidades: A rejeição racional do Conselho de segurança por usuários," por Cormac Herley da Microsoft Research. Cada um de vocês tem de ler a coisa toda, que é on-line em bit.ly/lZZsyr.
Quantas vezes nós têm dado aos usuários instruções de segurança e mandou ignorar-nos? E, em seguida, temos loucos quando nosso código de segurança bonito não prevenir perdas porque os usuários não faria o que dissemos-lhes? Usuários maus, impertinente, dissemos. A culpa é sua própria burra que você se machucou.
Errado. A culpa é nossa por dizendo-lhes para fazer coisas que sabia, ou deveria saber, que não iria fazer.
De acordo com Herley, os usuários que ignoram as nossas instruções de segurança estão sendo racionais do ponto de vista. Eles inconscientemente calculam que os constantes esforços exigimos deles são maiores do que as perdas pouco frequentes (embora maior) a eles se eles não siga nossas instruções. Eles então racionalmente decidirem ignorar-nos. Herley escreve: "considere um exploit que afeta 1% dos usuários por ano, e eles perdem limpar quando eles se tornam vítimas de 10 horas. Qualquer conselhos de segurança devem colocar uma carga diária de não mais de 0,98 segundos por usuário para reduzir, em vez de aumentar a quantidade de [total] do usuário tempo consumido. Isso gera a ironia profunda que muito Conselho de segurança não apenas mais mal do que bem (e, portanto, é rejeitado), mas faz mais mal do que os ataques que visa impedir e falha para fazê-lo apenas porque os usuários ignorá-lo". Uma onça de cura é não vale cinco quilos de prevenção.
Um usuário irá tolerar apenas muito mais relacionados com a segurança (ou outra) sobrecarga antes de ele Despeja seu produto ou descobre uma solução alternativa. Eu chamo este montante "hassle orçamento do usuário," um termo eu cunhado no meu livro, "Por que Software Sucks" (Addison-Wesley Professional, 2006).
Exemplo: Suponha que seu senhorio coloca um bloqueio de combinação na porta do banheiro em seu apartamento. O que você faria? Digite a combinação do primeiro tempo e talvez o segundo, mas definitivamente não o terceiro. Depois que você iria encontrar algum tipo de solução — você poderia sustentar a porta aberta, você tinha fita para baixo a trava para que ele não iria bloquear ou você iria aliviar-se na pia da cozinha.
Recentemente, vi que um artigo intitulado "37 dicas para impedir ID roubo Online". Se eu tiver que lembrar 37 itens diferentes para manter minha identidade segura on-line, os bandidos podem ter a maldita coisa.
Herley se aplica a rigorosa análise custo-benefício para tais práticas de segurança comuns como alterar senhas regularmente. Você é um pouco mais seguro se você fizer isso, mas como muito? E é esse benefício maior ou menor do que o custo do tempo que você gasta alterá-los e manter o controle delas? Você provavelmente obterá melhores resultados se você gastar o orçamento de aborrecimento do usuário garantindo que sua senha inicial é forte, em vez de alterações periódicas.
Tenho visto muitos conselhos de segurança, mas esta é a primeira vez que vi alguém comparar o custo do seguinte conselhos com o dano evitado por fazê-lo. Quando você começar a colocar os dois juntos, surge uma imagem muito mais sutil. Você só pode compreendê-lo se você colocar-se no lugar do usuário — se você souber Thy usuário, porque ele é não Thee. (Onde eu ouvi isso antes?)
Vou deixar você com este pensamento final de Herley, que eu espero sinceramente que convence a ler seu livro inteiro:
.jpg "TSA-compliant lock")
"Há cerca de 180 milhões de adultos on-line nos Estados Unidos. Em duas vezes os e.u. salário mínimo, uma hora de tempo de usuário é, em seguida, vale a pena $7,25 x 2 x 180e6 = US $2,6 bilhões. … Sugerimos que a principal razão conselhos de segurança é ignorado é que faz um enorme erro de cálculo: ele trata como liberar um recurso que é realmente vale US $2,6 bilhões, uma hora. Não é incomum para considerar que os usuários como preguiçoso ou relutante. Uma melhor compreensão da situação pode resultar se temos visto o usuário como um profissional que fatura US $2,6 bilhões por hora, e cujo tempo é muito valioso para ser desperdiçado em detalhes desnecessários."
David S. Platt ensina programação.NET na Harvard University Extension School e às empresas em todo o mundo. Ele é o autor de 11 livros, incluindo "Why Software Sucks" (Addison-Wesley Professional, 2006) de programação e "Introducing Microsoft.NET"(Microsoft Press, 2002). Microsoft nomeou uma lenda de Software em 2002. Ele se pergunta se ele deve fita para baixo dois dedos de sua filha para que ela aprende a contar octal. Você pode contatá-lo em rollthunder.com.