Régi mondás, hogy egy (számítógépes) rendszer biztonságosságát a használhatatlanságig lehet fokozni. Csak sajnos ez így lényegében nem igaz (legalábbis nem úgy, ahogy érteni szokták).

A szerdai xkcd erre nagyon jó és egyben vicces példát mutat: 

Szerintem mindenki számára ismertek az olyan olyan kötelező jelszavak, amik kis és nagybetűket, számokat és írásjeleket tartalmaznak, illetve legalább 8 karakterből állnak. Nos egy valós környezetben a felhasználók többsége az ilyen jelszavakat nem fogja megjegyezni (mert például 10 másik ugyanilyen jelszót kell megjegyeznie), vagy ugyanazt a jelszót használja, vagy megy a post-it a monitor szélére. Nyilvánvaló, hogy ebben az esetben a rendszer biztonsága a felhasználókon lényegében megbukik, amire az adminisztrátorok még szigorúbb szabályokkal válaszolnak, amiket a felhasználók még kevésbé tudnak betartani stb. Pedig mint a fenti példa is mutatja erre nincs is szükség, ami biztonságosabb és egyben használhatóbb is.

A biztonságnak akkor van értelme, ha abban a felhasználók is aktív résztvevők, hiszen ez lehet a rendszer legsebezhetőbb része. Ennek egyrészről része lehet a felhasználók képzésem, másrészről viszont a biztonsági intézkedéseket úgy kell megtervezni, hogy a felhasználók a köznapi munkájuk során azokat használni és alkalmazni tudják.

Vagyis egy rendszer biztonsági beállításai közben is figyelni kell a felhasználói lehetőségekre és igényekre, illetve a környezetre (technikai és fizikai) ahol a rendszert használják - lényegében használhatósági tervezést kell alkalmazni.

A bejegyzés trackback címe:

Trackbackek, pingbackek:

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

TrueY · http://qltura.blog.hu 2011.08.15. 09:38:59

Hát igen. Ezért pl. szoktak még egy security key-t is használni (pl. microchip-es cucc, vagy kódgenerátorokat). Így a jelszó mellé még azt is el kell lopni. Továbbá manapság a rendszerek nem szokták megengedni, hogy azonnal újra próbálkozzon a felhasználó. Ha pár. sec-et kell várnia két próbálkozás között, akkor máris gigantikusra nő a brute force idő. És az egészet még meg lehet CAPCHA-zni, hogy gépnek eszébe se jusson próbálkozni. A még a blue tooth kapcsolatot is lehet ellenőrizni így csak akkor tud bejelentkezni, hogy a telefont is ellopta. A blue tooth megoldás azért is jó, mert meg lehet csinálni, hogy ha felállsz az asztalodtól, akkor automatikusan lock-olja a képernyőt.

Válasz erre 

Mégsem

Kimoderálom ezt a kommentet.

Mégsem

Kimoderálom ezt a kommentet. Nem moderálom a kommentet. Kimoderálom a kommentező összes kommentjét.

A kommentezőt nem tiltom ki. A kommentezőt kitiltom egy napra. A kommentezőt kitiltom egy hétre. A kommentezőt kitiltom egy hónapra. A kommentezőt kitiltom örökre.

Megjegyzés: