- PVSM.RU - https://www.pvsm.ru -
Я с 2014 года работаю над безопасностью мобильных и веб-приложений. Много раз слышал от разных людей и в разном контексте про «трейдофф usability vs security», при этом с самого начала видел в этом какой-то подвох. В этом посте я поделюсь своим мнением, почему, на мой взгляд, это не трейдофф, и на самом деле от него давно стоит отказаться.
Под трейдоффом usability vs security как правило подразумевается следующая закономерность: чем безопаснее процесс, тем он неудобнее.
Поясню на простых примерах, что имеется в виду:
На практике же пользователь зачастую не готов смириться с неудобством и заменяет «безопасный, неудобный» процесс на «небезопасный, менее неудобный»:
Безопасный неудобный процесс не даст безопасности, если им не пользоваться. Сложность в том, что мы не можем за пользователя решить, как ему поступать. Мы можем предложить процесс, который считаем правильным. Следовать этому процессу или нет — выбор пользователя.
В первую очередь нужно повернуться к лесу задом, а к пользователю передом. Странно даже предлагать юзеру «безопасный, неудобный» процесс, ведь наша работа и заключается в том, чтоб организовать удобный. Давайте откажемся от мысли, что для получения security нужно пожертвовать usability, и попытаемся совместить их в одном решении.
Наши примеры тогда приобретут следующий вид:
Чтобы получить такой результат, нам пришлось отказаться от высокомерной мысли, что пользователь по своей глупости отказывается от безопасного решения. Напротив, пользователь в силу своей рациональности выбирает то решение, которое ему удобнее. А наша задача — сделать так, чтоб оно же было и безопасным.
Мысль о том, что security не сочетается с usability до сих пор приходится слышать довольно часто. Некоторые идут дальше и делают утверждение, что по-настоящему безопасный процесс всегда будет неудобен, а значит, доступен только специалистам. Мне такой подход кажется в корне неверным.
Безопасность — это масс-маркет. Нельзя быть уверенным в безопасности своих соцсетей, если у ваших друзей пароль qwerty: злоумышленник напишет вам от их имени, и в опасности будут уже ваши средства. Соответственно, и безопасные способы хранения паролей (как и решения других задач) должны быть доступны среднему пользователю.
Постепенно на мобильные и веб-приложения ложится всё больше ответственности: у всех в смартфонах банковские приложения, а у кого-то и криптокошельки. Мы можем предотвратить дурацкие и обидные потери средств, только если изначально будем думать о безопасности и удобстве как вещах взаимодополняющих. Неудобный процесс не может быть безопасен, потому что пользователь не будет ему следовать.
Автор: Иван Иваницкий, ведущий аналитик Solar appScreener
Автор: SolarSecurity
Источник [2]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/yuzabiliti/345748
Ссылки в тексте:
[1] plain text: https://krebsonsecurity.com/2019/03/facebook-stored-hundreds-of-millions-of-user-passwords-in-plain-text-for-years/
[2] Источник: https://habr.com/ru/post/486966/?utm_source=habrahabr&utm_medium=rss&utm_campaign=486966
Нажмите здесь для печати.