• Artículo

Este artículo proviene de un motor de traducción automática.

No meterme comenzó

Cuando la seguridad no tiene sentido

David Platt

David PlattAcabo de leer un documento de investigación verdaderamente brillante, "tan larga y No gracias a los factores externos: el rechazo racional de asesoramiento de seguridad de los usuarios," por Cormac Herley de Microsoft Research. Cada uno de ustedes necesita leer todo esto, que está en línea en bit.ly/lZZsyr.

¿Con qué frecuencia hemos dado instrucciones de seguridad a los usuarios y los tenia nos ignoran? ¿Y, a continuación, tenemos locos cuando nuestro código de seguridad hermosa no prevenir pérdidas porque los usuarios no hacen lo que se les dice? Los usuarios malos, malo, nos dice. Es su propia culpa tonto que tenes herido.

Mal. Es nuestra culpa para decirles a hacer cosas que conocía, o debía haber sabido, que no lo hacen.

Segun Herley, los usuarios que ignoran nuestras instrucciones de seguridad están siendo racionales desde su punto de vista. Subconscientemente calcular que el esfuerzo constante exigir de ellos son mayores que las pérdidas poco frecuentes (aunque más grande) a ellos si no siguen nuestras instrucciones. A continuación, racionalmente deciden nos ignoran. Herley escribe: "considere la posibilidad de un ataque que afecta anualmente a 1 por ciento de los usuarios, y residuos de 10 horas de limpieza cuando se conviertan en víctimas. Cualquier Consejo de seguridad debe colocar una carga diaria de no más de 0,98 segundos por el usuario a fin de reducir, en lugar de aumentar la [total] usuario tiempo consumido. Esto genera la profunda ironía que muchos consejos de seguridad no sólo más daño que bien (y por lo tanto se rechazaron), pero tiene más efectos nocivos que los ataques que intenta evitar y no sólo porque los usuarios ignoran". Una onza de cura no vale cinco libras de prevención.

Un usuario tolerará overhead sólo tanto relacionados con la seguridad (o otro) antes de que vuelca su producto o figuras de una solución. Pido esta cantidad "molestia presupuesto del usuario," un término acuñó en mi libro, "por qué Software chupa" (Addison-Wesley Professional, 2006).

Ejemplo: Supongamos que su propietario pone una cerradura de combinación en la puerta del baño de su apartamento. ¿Qué haría usted? Introduzca el tiempo de la primera combinación y tal vez el segundo, pero definitivamente no la tercera. Después de que encontrará algún tipo de solución, podría apoyar la puerta abierta, tenía cinta hacia abajo el cierre para que no bloquee o liberaría a sí mismo en el fregadero de la cocina.

Hace poco vi que un artículo Web titulado "37 consejos para prevenir ID Theft Online". Si tengo que recordar 37 elementos diferentes para mantener segura mi identidad en línea, los malos pueden tener la maldita cosa.

Herley aplica análisis riguroso a prácticas seguridad común como cambiar las contraseñas con regularidad. ¿Eres un poco más seguro si hace esto, pero cómo mucho? ¿Y es ese beneficio mayor o menor que el costo del tiempo que pasa se cambian y seguimiento de les? Probablemente obtendrá mejor resultado si pasas presupuesto de complicaciones de un usuario asegurando que su contraseña inicial es fuerte, más que en cambios periódicos.

He visto gran cantidad de consejos de seguridad, pero esta es la primera vez que he visto a nadie comparar el costo del siguiente asesoramiento con el daño para evitar hacerlo. Cuando inicie poniendo los dos juntos, emerge un panorama mucho más matizado. Sólo se puede entender si usted mismo pones en los zapatos de su usuario, si conoces tu usuario, porque él es no Thee. (Dónde he oído que antes?)

Te dejo con este pensamiento final de Herley, que espero convence a leer su libro completo:

TSA-compliant lock"Hay unos 180 millones de adultos en línea en Estados Unidos. En dos veces los Estados Unidos. salario mínimo, una hora de tiempo de usuario es entonces vale $7.25 x 2 x 180e6 = 2,6 millones de dólares. … Sugerimos que la principal razón se omite el Consejo de seguridad es que hace un enorme error de cálculo: trata como libre de un recurso que es en realidad un 2,6 millones de dólares la hora. No es raro considerando los usuarios como perezoso o reacios. Una mejor comprensión de la situación podría producirse si se nos ve el usuario como un profesional que factura en 2,6 millones de dólares por hora, y cuyo tiempo es demasiado valioso para perder en detalles innecesarios."

David S. Platt enseña programación.NET en la extensión de la Universidad de Harvard y en empresas de todo el mundo. Es autor de 11 programación libros, incluyendo "por qué Software chupa" (Addison-Wesley Professional, 2006) y "Introducing Microsoft.NET"(Microsoft Press, 2002). Microsoft le nombró una leyenda de Software en 2002. Se pregunta si debe cinta a dos dedos de su hija por lo que aprende a contar octal. Puede contactarlo en rollthunder.com.