stringtranslate.com

Полезная безопасность

Полезная безопасность — это область информатики , взаимодействия человека с компьютером и кибербезопасности , связанная с разработкой пользовательского интерфейса систем кибербезопасности. [1] В частности, полезная безопасность направлена ​​на обеспечение того, чтобы последствия взаимодействия с компьютерными системами, например, через диалоговые окна предупреждений , были доступны и понятны пользователям-человекам. Это отличается от метода разработки программного обеспечения , обеспечивающего безопасность по дизайну , тем, что он подчеркивает человеческие аспекты кибербезопасности, а не технические. Полезная безопасность также противоречит идее безопасности через неясность , стремясь гарантировать, что пользователи знают о последствиях своих решений для безопасности. [2] [3]

История

Полезная безопасность была впервые установлена ​​учеными-компьютерщиками Джерри Зальцером и Майклом Шредером в их работе 1975 года « Защита информации в компьютерных системах» [4] , которую сейчас в просторечии называют принципами проектирования Зальцера и Шредера . Эти принципы привлекают внимание к «психологической приемлемости», утверждая, что дизайн интерфейса должен соответствовать мысленной модели системы пользователя. Авторы отмечают, что ошибки безопасности могут возникнуть, когда ментальная модель пользователя и базовая работа системы не совпадают.

Несмотря на работу Зальцера и Шредера, широко распространено мнение, что безопасность и удобство использования по своей сути находятся в противоречии; либо безопасность посредством неясности была предпочтительным подходом, либо дискомфорт и замешательство пользователя были просто требованием для обеспечения хорошей безопасности. [5] Одним из таких примеров являются системы входа пользователей. Когда пользователь вводит неверные данные для входа, система должна ответить, что имя пользователя и/или логин неверны, не уточняя, какой из них содержит неверное значение. Указав, какие из входных данных неверны (имя пользователя или пароль), злоумышленник может использовать это для определения действительных пользователей в системе, которые затем могут стать объектом атак с подбором пароля или аналогичных атак. [6] Хотя это может вызвать некоторое раздражение у пользователя, такой подход действительно обеспечивает повышенный уровень безопасности.

Лишь в 1995 году, после публикации книги Мэри Эллен Зурко и Ричарда Т. Саймона «Безопасность, ориентированная на пользователя» [7] , то, что сейчас называется полезной безопасностью, стало отдельной областью исследований и разработок. Этот сдвиг во многом связан с уделением большего внимания тестированию удобства использования и обеспечением того, чтобы аспекты безопасности были понятны в процессе проектирования и разработки, а не добавлялись второстепенно.

Научные конференции

Хотя исследования в области полезной безопасности широко принимаются на многих конференциях по HCI и кибербезопасности , специальные места для такой работы включают:

Смотрите также

Рекомендации

  1. ^ Гарфинкель, Симсон; Липфорд, Хизер Рихтер (2014), «Введение», Usable Security , Cham: Springer International Publishing, стр. 1–11, doi : 10.1007/978-3-031-02343-9_1, ISBN 978-3-031-01215-0, получено 1 декабря 2022 г.
  2. ^ Рено, Карен; Волкамер, Мелани; Ренкема-Падмос, Арне (2014), Де Кристофаро, Эмилиано; Мердок, Стивен Дж. (ред.), «Почему Джейн не защищает свою конфиденциальность?», Технологии повышения конфиденциальности , Cham: Springer International Publishing, vol. 8555, стр. 244–262, номер домена : 10.1007/978-3-319-08506-7_13, ISBN. 978-3-319-08505-0, S2CID  9509269 , получено 1 декабря 2022 г.
  3. ^ Да, Ка-Пинг (2004). «Сочетание безопасности и удобства использования». Безопасность и конфиденциальность IEEE . 2 (5): 48–55. дои :10.1109/MSP.2004.64. ISSN  1558-4046. S2CID  206485281.
  4. ^ Смит, Ричард (2012). «Современный взгляд на принципы дизайна Зальцера и Шредера 1975 года». Журнал IEEE Security & Privacy : 1. doi : 10.1109/msp.2012.85. S2CID  13371996 . Проверено 28 декабря 2023 г.
  5. ^ Гарфинкель, Симсон; Липфорд, Хизер Рихтер (2014), «Краткая история исследований полезной конфиденциальности и безопасности», Usable Security , Cham: Springer International Publishing, стр. 13–21, doi : 10.1007/978-3-031-02343-9_2, ISBN 978-3-031-01215-0, получено 28 декабря 2023 г.
  6. ^ Нильсен, Якоб (1993). Инженерия юзабилити . Бостон, Сан-Диего, Нью-Йорк [и др.]: Академическая пресса. ISBN 978-0-12-518405-2.
  7. ^ Зурко, Мэри Эллен; Саймон, Ричард Т. (1996). «Безопасность, ориентированная на пользователя». Материалы семинара 1996 года «Новые парадигмы безопасности» - NSPW '96 . АКМ Пресс. стр. 27–33. дои : 10.1145/304851.304859. ISBN 978-0-89791-944-9. {{cite book}}: |journal=игнорируется ( помощь )
  8. ^ "Конференция EUROUSEC - Главная" . Цифровая библиотека ACM . Проверено 28 декабря 2023 г.
  9. ^ «Международная конференция по человеческим аспектам информационной безопасности, конфиденциальности и доверия». ссылка.springer.com . Проверено 28 декабря 2023 г.
  10. ^ «Всемирная конференция ИФИП по образованию в области информационной безопасности» . ссылка.springer.com . Проверено 28 декабря 2023 г.
  11. ^ «Международный семинар по социально-техническим аспектам безопасности». ссылка.springer.com . Проверено 28 декабря 2023 г.
  12. ^ «Международная конференция по доверию и конфиденциальности в цифровом бизнесе». ссылка.springer.com . Проверено 28 декабря 2023 г.
  13. ^ "Симпозиумы по СУПАМ | USENIX" . www.usenix.org . Проверено 28 декабря 2023 г.