Security And Usability

Post on 07-Dec-2014

1.918 views 2 download

Preview:

Click to see full reader
Report this document
SHARE

description

 

Transcript of Security And Usability

© 2006 Cisco Systems, Inc. All rights reserved. 1/26Cisco и SAP GRC

Удобство и безопасность: как совместить несовместимое

Алексей Лукацкий

Консультант по безопасности

© 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 2/26Usability & Security

Удобство &безопасность

© 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 3/26Usability & Security

Зачем нужна система ИБ?

Для защиты

Информации

Информационных систем

Оборудования

Для обеспечения

Конфиденциальности

Целостности

Доступности

… (множество других определений)

© 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 4/26Usability & Security

Безопасность, как самоцель

Многие руководящие документы, стандарты, требования по ИБ рассматривают безопасность, как самоцель

© 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 5/26Usability & Security

Безопасность, как самоцель

© 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 6/26Usability & Security

Правильная безопасность

Информационная безопасность - это рычаг для генерации большего бизнеса и увеличения гибкости предприятия, которая позволит ему работать в тех областях, которые слишком опасны без реализации адекватной программы ИБ

© 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 7/26Usability & Security

Кто генерит бизнес?

© 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 8/26Usability & Security

Безопасность или удобство?

© 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 9/26Usability & Security

Психологическая приемлемость

© 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 10/26Usability & Security

Психологическая приемлемость

Очень важно, чтобы интерфейс взаимодействия с пользователем был удобным в использовании; чтобы пользователи запросто и «на автомате» использовали механизмы защиты правильным образом. Если образ защиты в уме пользователя будут соответствовать тем механизмам, которые он использует на практике, то ошибки будут минимизированы. Если же пользователь должен переводить представляемый им образ на совершенно иной «язык», он обязательно будет делать ошибки

Джером Зальтцер и Майкл Шредер, 1975 (!) год

© 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 11/26Usability & Security

Пароли: что плохого?

Выбирайте пароли длиной свыше 8 символов

А как их запомнить?

Используйте системы автоматической генерации паролей (8HguJ7hY)

А как их запомнить?

Пусть пароль выбирает пользователь

Тривиальные и легко угадываемые пароли

© 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 12/26Usability & Security

Почему это происходит?

Продукт разрабатывается с точки зрения разработчика, а не потребителя

Если потребители и опрашиваются, то только с точки зрения функций защиты

Тестирование проводится на предмет ошибок и дыр, но не юзабилити

Продукт выпускается в условиях жесткой конкуренции со стороны других разработчиков

В России практически никто не обращается к услугам специалистов по эргономике

© 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 13/26Usability & Security

Хорошие и плохие примеры

© 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 14/26Usability & Security

Пароли: как улучшить?

Графические пароли

Токены, смарт-карты, биометрия

© 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 15/26Usability & Security

Пароли: хочется сэкономить?

© 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 16/26Usability & Security

Microsoft

«Монополист» рынка программного обеспечения

За счет удобства для пользователя

Множество нареканий с точки зрения безопасности

Ситуация изменяется

© 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 17/26Usability & Security

Пример с ОС Windows

Что такое «signed»?

Что такое «Microsoft Code Signing PCA»?

Всегда доверять этому источнику?

А если я хочу всегда недоверять этому источнику?

Что «да» и что «нет»?

Чем это опасно?

© 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 18/26Usability & Security

Пример с ОС Windows

Как можно открыть exe-файл?

Чем это опасно?

Какие действия осуществляются по умолчанию?

© 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 19/26Usability & Security

Заключение

© 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 20/26Usability & Security

ZoneAlarm

1 миллион загрузок с сайта за первые 10 недель

Один из самых популярных продуктов для персональной Интернет-безопасности

«…чтобы даже мама могла использовать»

© 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 21/26Usability & Security

Принципы дизайна ZoneAlarm

Знайте вашу аудиторию

Думайте как ваша аудитория

Избегайте беспорядка

Избегайте сложности

Встаньте на сторону пользователя даже если конкуренты «давят» на вас со сроками

Обеспечьте обратную связь с пользователем!!!

© 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 22/26Usability & Security

Обратная связь!!!

© 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 23/26Usability & Security

Вирус bagle.aa и Cisco Security Agent

Вирус появился в апреле 2004

Не было времени на установку патча или обновлениеантивируса

Из 38,370 ПК защищенных Cisco Security Agent, около 600 было скомпрометировано – 620 пользователей открыло зараженный файл

Некоторые пользователи нажали “Yes” на вопрос «Подозрительное приложение пытается получить доступ к электронной почте. Разрешить?»

Существенное снижение времени и стоимости борьбы

А также обновление политики безопасности для снижения влияния «человеческого фактора»

© 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 24/26Usability & Security

Дополнительная информация

http://www.ischool.berkeley.edu/~rachna/security_usability.html - множество ссылок на публикации об удобстве и безопасности

Security and Usability. Lorrie Cranor,Simson Garfinkel

Publisher: O'Reilly

Pub Date: August 2005

ISBN: 0-596-00827-9

Pages: 738

© 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 25/26Usability & Security

Вопросы?

Дополнительные вопросы Вы можете задать по электронной почте security-request@cisco.comили по телефону: (495) 961-1410

© 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential 26/26Usability & Security

Top related

CSCI E-170: Computer Security, Privacy and Usability
 Documents
Usability of Security: A Case Studyreports-archive.adm.cs.cmu.edu/anon/1998/CMU-CS-98-155.pdf · Usability of Security: A Case Study Alma Whitten and J. D. Tygar December 18, 1998
 Documents
Security and Usability: Analysis and Evaluation · 2015-10-05 · Security and Usability: Analysis and Evaluation Ronald Kainda, Ivan Flechais, and A.W. Roscoe Oxford University Computing
 Documents
Bournemouth University - Security through Usability: …...1 Security through Usability: a user-centered approach for balanced security policy requirements Shamal Faily, Ivan Flechais´
 Documents
Usability and Security by Design: A Case Study in Research ... › 2079 › f0b77c51eb0... · cations of usability and security in the design of e-Science projects. This project is
 Documents
Measuring the Usability and Security of Permuted … · NISTIR 8040 . Measuring the Usability and Security of Permuted Passwords on Mobile Platforms . Kristen K. Greene . John Kelsey
 Documents
E banking security-05-security-and-usability
 Technology
Usable Security - Computer Security Lecture · Security and Usability: A Tradeoff? Does increased security decrease usability? É A 20-character password doesn’t seem very usable
 Documents
Portal Authentication: A Balancing Act Between Security Usability and Compliance
 Software
A Security Usability Protocol for User Authentication - UQAMA Security Usability Protocol for User Authentication University of Quebec at Montreal Prof. Dr. Mounir Bokadoum • Director
 Documents
IMPROVING THE SECURITY AND USABILITY OF CLOUD SERVICES ...vinodg/students/samanzarandioon_phdt… · Improving the security and usability of cloud services with user-centric security
 Documents
Usability and Security by Design: A Case Study in Research ... · Usability and Security by Design: A Case Study in Research and Development Shamal Faily Bournemouth University sfaily@bournemouth.ac.uk
 Documents
Usability and Security of Personal Firewalls
 Documents
Human Factors Engineering for IT Security · Human Factors Engineering for IT Security ... CURE – Center for Usability Research and Engineering. 2 Agenda •About CURE •Usability
 Documents
Passwords: Security vs Usability
 Technology
01. Course Overview; Introduction to Usable …usability within security and privacy • Learn about current research in usable security and privacy • Learn how to conduct usability
 Documents
CSCI E-170: Computer Security, Privacy and Usability Hour #2: Biometrics.
 Documents
Usability and Security. Overview Limits of Usability for Security 10 basic principles (Ka-Ping-Yee) Psychological foundations Key Management Bad Usability.
 Documents
The usability canary in the security coal mine
 Technology
Usability and Security - vurore.nl
 Documents

Copyright © 2022 FDOCUMENTS