Biztonság és használhatóság

2011.08.12. 15:24 polgarp

Régi mondás, hogy egy (számítógépes) rendszer biztonságosságát a használhatatlanságig lehet fokozni. Csak sajnos ez így lényegében nem igaz (legalábbis nem úgy, ahogy érteni szokták).

A szerdai xkcd erre nagyon jó és egyben vicces példát mutat: 

Szerintem mindenki számára ismertek az olyan olyan kötelező jelszavak, amik kis és nagybetűket, számokat és írásjeleket tartalmaznak, illetve legalább 8 karakterből állnak. Nos egy valós környezetben a felhasználók többsége az ilyen jelszavakat nem fogja megjegyezni (mert például 10 másik ugyanilyen jelszót kell megjegyeznie), vagy ugyanazt a jelszót használja, vagy megy a post-it a monitor szélére. Nyilvánvaló, hogy ebben az esetben a rendszer biztonsága a felhasználókon lényegében megbukik, amire az adminisztrátorok még szigorúbb szabályokkal válaszolnak, amiket a felhasználók még kevésbé tudnak betartani stb. Pedig mint a fenti példa is mutatja erre nincs is szükség, ami biztonságosabb és egyben használhatóbb is.

A biztonságnak akkor van értelme, ha abban a felhasználók is aktív résztvevők, hiszen ez lehet a rendszer legsebezhetőbb része. Ennek egyrészről része lehet a felhasználók képzésem, másrészről viszont a biztonsági intézkedéseket úgy kell megtervezni, hogy a felhasználók a köznapi munkájuk során azokat használni és alkalmazni tudják.

Vagyis egy rendszer biztonsági beállításai közben is figyelni kell a felhasználói lehetőségekre és igényekre, illetve a környezetre (technikai és fizikai) ahol a rendszert használják - lényegében használhatósági tervezést kell alkalmazni.

· 1 trackback Címkék: usability biztonság használhatóság

A bejegyzés trackback címe:

http://gepelmeny.blog.hu/api/trackback/id/tr953148778

Trackbackek, pingbackek:

Trackback: Jelszavakról és biztonságról 2011.08.13. 17:24:37

A Webmánián olvastam ma rrd beszámolóját, hogyan törte fel saját weblapját. A kísérletet elemezgetve arra jutott, hogy a legfőbb érték hibaforrás az ember. Vagyis a júzer, aki nem választ megfelelően erős jelszót. Miért nincs a felhasználóknak megfelel...

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben.

TrueY · http://qltura.blog.hu 2011.08.15. 09:38:59

Hát igen. Ezért pl. szoktak még egy security key-t is használni (pl. microchip-es cucc, vagy kódgenerátorokat). Így a jelszó mellé még azt is el kell lopni. Továbbá manapság a rendszerek nem szokták megengedni, hogy azonnal újra próbálkozzon a felhasználó. Ha pár. sec-et kell várnia két próbálkozás között, akkor máris gigantikusra nő a brute force idő. És az egészet még meg lehet CAPCHA-zni, hogy gépnek eszébe se jusson próbálkozni. A még a blue tooth kapcsolatot is lehet ellenőrizni így csak akkor tud bejelentkezni, hogy a telefont is ellopta. A blue tooth megoldás azért is jó, mert meg lehet csinálni, hogy ha felállsz az asztalodtól, akkor automatikusan lock-olja a képernyőt.