Ikke fiks brukeren

bruce-blog3Bruce Schneier er verdens mest anerkjente ekspert på datasikkerhet, en skarp kritiker av bl.a. det han kaller «sikkerhetsteater» – at vi må tusle inn på flyplassen i sokkelesten for at folk skal tro at de er mer sikre og politikerne kan vise til at de har gjort noe.

Bruce skriver en blogg som burde være pensum ved hvert eneste IT-studium. Sånn a propos forrige blogpost her – her er en link til hans siste om hvordan vi må slutte å tro at vi kan få til datasikkerhet ved å fikse hva brukerne gjør (takk til SerendipityCat for den). Om ikke noe annet, så trenger jo de som vil bryte seg inn i systemer å få det til bare en gang, mens de stakkars brukerne som ikke skal trykke på mistenkelige linker trenger å gjøre det riktig hver eneste gang. Og det er jammen ikke så enkelt å skjønne hva som er mistenkelig eller ikke. Hvorfor ikke heller gjøre teknologien sikker i seg selv?

Noen sitater:

The problem isn’t the users: it’s that we’ve designed our computer systems’ security so badly that we demand the user do all of these counterintuitive things. Why can’t users choose easy-to-remember passwords? Why can’t they click on links in emails with wild abandon? Why can’t they plug a USB stick into a computer without facing a myriad of viruses? Why are we trying to fix the user instead of solving the underlying security problem? […]

We must stop trying to fix the user to achieve security. We’ll never get there, and research toward those goals just obscures the real problems. Usable security does not mean «getting people to do what we want.» It means creating security that works, given (or despite) what people do. It means security solutions that deliver on users’ security goals without­ — as the 19th-century Dutch cryptographer Auguste Kerckhoffs aptly put it­ — «stress of mind, or knowledge of a long series of rules.»

I’ve been saying this for years. Security usability guru (and one of the guest editors of this issue) M. Angela Sasse has been saying it even longer. People — ­and developers — ­are finally starting to listen. Many security updates happen automatically so users don’t have to remember to manually update their systems. Opening a Word or Excel document inside Google Docs isolates it from the user’s system so they don’t have to worry about embedded malware. And programs can run in sandboxes that don’t compromise the entire computer. We’ve come a long way, but we have a lot further to go.

Legg Bruce’ blogg til din RSS-liste (hvis noen fortsatt bruker RSS, da). Det vil du ikke angre på. Rent bortsett fra at du blir enda mer irritert når du skal inn i avgangshallen på Gardermoen.

2 thoughts on “Ikke fiks brukeren

  1. Det er mennesker som lager teknologien. Mennesker gjør feil. Og det er feilene som utnyttes. Og problemstillingen han peker på, er dessverre ikke ny.

    Tidligere var det enklere å utnytte feil i programvaren for å skaffe seg tilgang til et system. Så ble det satt mye fokus på å lage sikrere kode, og det hevet etterhvert terskelen ganske mye. Da flyttet angrepene seg fra å gå mot systemet direkte, til å gå via brukeren.

    Nå jobbes det mye med å forsøke å isolere angrepene og hindre de å lykkes i skaffe seg full kontroll. For de som er spesielt interessert, så tar Qubes-OS dette ganske langt (systemet Snowden benytter): https://www.qubes-os.org/

    Problemet er at så lenge brukeren selv blir gitt muligheter til å forbigå hindringer, så vil brukere bli lurt til å gjøre nettopp dette på vegne av de som angriper systemet. Og systemer som er godt sikret mot brukerne, er naturlig nok ganske lite «brukervennlige»… Men det jobbes heldigvis hele tiden med å forbedre dette, det tar bare litt mer tid enn man skulle ønske.

    PS: Jeg la ved en link her. Stoler du på meg? 🙂 Hvis ikke, så er det tryggere å søke etter «Qubes-OS» via google.

    • Stoler på deg siden jeg kan lese linken…

      Morsomt utgangspunkt – litt som med roboter og intelligens – som jeg sa en gang på radio, på spørsmål om roboter kan bli så intelligente at vi tar dem for mennesker: Hvordan vet du at jeg ikke er en robot?

Kommenter

Fyll inn i feltene under, eller klikk på et ikon for å logge inn:

WordPress.com-logo

Du kommenterer med bruk av din WordPress.com konto. Logg ut /  Endre )

Google+-bilde

Du kommenterer med bruk av din Google+ konto. Logg ut /  Endre )

Twitter-bilde

Du kommenterer med bruk av din Twitter konto. Logg ut /  Endre )

Facebookbilde

Du kommenterer med bruk av din Facebook konto. Logg ut /  Endre )

Kobler til %s