2 可用的安全性——基础
当用户的行为不符合安全策略的规定时,大多数安全从业人员认为用户有过错:他们“只是不了解风险”或“太懒惰”。但研究表明,不合规(我们现在称为“规则弯曲”)是由于人们面临着在安全方面做正确的事情和降低他们的生产力之间的严峻选择造成的。大多数人选择生产力而不是安全性,因为这也是组织所做的。
对这种规则扭曲的典型反应是安全意识和教育,即“使人适应任务”。但人为因素研究在几十年前就确立了这一点,当我们考虑到所有成本和由此产生的性能时,“让任务适合人类”会更有效率。有安全意识和培训的作用(第4节),但它应该被认为是一种选择,而不是第一选择。它无法帮助人类应对不可能、会导致错误或消耗过多个人和组织资源的安全任务。正如英国国家网络安全中心( NCSC ) 政策所说:'让安全有效的方法是让安全为人们服务换句话说,安全性必须是可用的。ISO将可用性 (ISO 9241–11:2018) 定义为“特定用户在特定环境中实现特定目标的有效性、效率和满意度。
1.有效性:特定用户在特定环境中实现特定目标的准确性和完整性;
2.效率:与实现目标的准确性和完整性相关的资源消耗;
3.满意度:工作系统对其用户和其他受其使用影响的人的舒适度和可接受性。
2.1 使任务适合人类
1.目标用户的能力和局限性;
2.用户的目标以及他们为实现这些目标而执行的任务;
3.使用的物理和社会环境;和
4.使用安全机制的设备的功能和限制。
我们现在依次检查每一个,以及它们如何应用于设计可用的安全机制。
2.1.1一般人类能力和局限性
存在适用于大多数人的一般能力和限制——身体上的和精神上的。给人类一项超出他们能力的任务意味着我们让他们失败。当他们面临的需求处于临界状态时,大多数人都会努力满足它。但这将付出巨大的代价,最终可能被证明是不可持续的。
对于当今的通用计算设备,安全任务可以超越的物理能力很可能是检测信号的能力:许多安全系统提供状态消息、提醒或警告。人类在任何时候只能将注意力主要集中在一项任务上。重点将放在他们的主要活动上,许多安全机制需要的时间和精力超出了用户的承受能力。这意味着通常不会注意到被动安全指示器的变化,尤其是当它们位于屏幕边缘时。要求用户检查这些指标会使他们失败——即使他们有意识地尝试这样做,他们的注意力也会被拉回到主要任务上。如果需要注意安全指标,则应将其放在人员面前,并要求做出响应。这将起作用,但仅适用于不常见且可靠的指标(请参阅疲劳警报)。
疲劳警报大脑不再关注它被归类为不相关的信号。它们在达到有意识的处理级别之前被过滤掉(第2.1.2节)。这意味着人类在必须筛查罕见异常的任务中表现不佳(例如,在行李筛查和某些形式的闭路电视(CCTV)中)监控。我们需要技术支持和工作轮换等流程来获得良好的绩效。警报疲劳是一个相关的现象。一旦警报被归类为不可靠,人们就会停止关注它们。误报率(人们可以使用多少)取决于风险、误报发生的频率以及他们必须完成的其他任务的需求。但即使有 10% 的误报率,人们也可以预料到警报疲劳。一旦人们开始忽略警报,就很难让他们再次认真对待它们。此外,一旦他们将一种类型的安全警告视为错误的,看起来相似或听起来相似的安全警告也将被忽略。如今,许多安全警告的误报率都太高,因此被忽略了。SSL例如,证书警告的误报率为 50% 或更高。因此,人们忽略它们也就不足为奇了,尤其是在没有同时提供完成任务的安全替代方案的情况下。Rob Reeder 在 Microsoft 工作时创造了方便的首字母缩写词 NEAT:警告应该是必要的、解释的、可操作的和经过测试的。再加上“误报率为 10% 或更低”,安全警告可能会生效。
一个关键的心理能力是记忆力。有几种类型的内存。第一个区别是短期记忆(STM)和长期记忆(LTM)。当一个人试图记住一个项目时,它需要在STM循环中循环几次,然后才能转移到LTM中。例如,STM用于一次性密码,例如由令牌显示或显示在另一台设备上的数字代码。
STM和一次性密码( OTP )随着双重身份验证(2FA)变得越来越普遍,一次性PIN或密码 ( OTP ) 在安全性方面的使用有所增加。我们将注意力集中在显示的数字上,然后对自己重复一遍(心里或大声)。然后我们将注意力转向输入字段,从STM循环中检索项目,并在输入时对自己重复。需要注意的重要一点是,这对大多数人来说适用于最多 6 个字符的字符串,即 6 位数字,因为我们可以将它们分成 2 位,每个 3 个字符。更长的代码使STM过载环形。人们必须开始在显示器之间向前和向后看才能读取字符并输入它们。这增加了输入时间和出错的可能性。混合字母数字字符也会影响性能。
用户是否能够回忆起LTM中存储的内容取决于它的嵌入程度:经常检索的项目嵌入得很好,那些不嵌入的项目会随着时间的推移而消失。这意味着我们可以预期不经常使用的项目会出现问题,这些问题需要单独回忆(辅助回忆,例如,在一组图像中识别自己的图像,更容易)。LTM分为两个不同的区域:一般知识存储在语义记忆 (LTM-SM)中,而与个人历史相关的项目存储在情节记忆 (LTM-EM)中:自传记忆。存储在LTM-SM中的项目比LTM-EM中的项目消失得更快因为在后一种情况下,人们不仅存储物品,还存储与之相关的图像和情感。
LTM和密码LTM-SM分为存储类似项目的区域。当一个人试图检索一个项目时,存储它的部分被激活,并且该部分中的项目竞争被检索 - 那些最常被检索到的项目首先“想到”。这种干扰效应非常强大且具有破坏性,特别是因为不再需要的项目(例如旧密码)一直徘徊并与需要召回的项目竞争。因此,管理大量相同类型的凭证是不可能的,尤其是在其中几个不经常使用的情况下。人们需要应对策略,无论是写下来,使用密码管理器还是一次性凭证。我们可以同意 123456 或 P@SSword 不安全。但是,由于大多数用户现在拥有数十个密码,因此坚持使用强密码已经创造了一项人类不可能完成的任务。大多数人在拥有超过 2 到 3 个密码或PIN 码时都会遇到困难——而且密码或 PIN 越长越强,他们会越努力。
因此,NCSC密码指南a推荐了几种支持人们管理大量唯一密码的方法:切换到2FA解决方案和/或密码管理器,如果两者都做不到,则不要让强密码过期定期。如果密码必须过期(例如,因为它已被泄露),在密码更改当天投入一点时间可能会有所帮助。人们可以通过立即重复大约十次新密码并每隔一小时重复该过程三到四次来强制破解旧密码。
基于知识的身份验证的一个重要安全标准是凭证应该难以猜测。然而,由于人类的身心特点,证书的选择往往偏向于熟悉的,或者更容易与他人区分开来的。
1. 使用密码时,人们会尝试选择更容易记住的密码,例如那些对他们有意义的密码,例如容易记住的名字或日期。
2. 当用户必须选择图像作为凭证时,他们更喜欢强烈的颜色和形状而不是更分散的颜色和形状。
3. 当这些是人类的照片时,他们会选择“更有吸引力”的人和来自他们自己种族背景的人的照片。
4. 当凭证是图片中的特定位置时,人们更喜欢突出的特征。
5. 使用基于位置的系统,人们会选择令人难忘的位置,例如,在为5X5数字网格上的4位PIN选择位置时,他们会选择连接的位置,锚定在网格的边缘或角落。
6. 证书元素的顺序是可预测的,因为存在强烈的文化偏好,例如,说从左到右阅读的语言的人会选择该顺序。
同样,密码强度计通常用于指导和影响用户的密码选择。例如,Ur 等人。讨论了各种密码仪表设计对用户密码选择的影响,并强调了用户工作量的增加以及他们在面对更严格的密码仪表时所面临的挫败感。Golla 和 Du¨rmuth 最近的作品调查了 45 个密码强度计的准确性,包括在实践中部署的几个,以及学术建议。他们的工作在准确性方面显示出一定程度的变化,更关键的是,五年来这并没有显著改善。因此,即使我们要忽略用户的额外工作量(我们不应该这样做),这些方法也并不总是具有有效实施密码策略所需的准确度。在部署解决方案以实施安全策略时,必须牢记这些注意事项。
有时,会提出一个问题,即是否有培训可以帮助用户应对召回安全凭证。记忆力运动员使用特定的练习来提高记忆力。作家 Joshua Foer 在他的畅销书《与爱因斯坦一起月球漫步》中详细说明,这需要大量的初始时间投资(全职几个月),但还需要继续训练(每天至少 30 分钟),加上回忆和进入所需的时间密码(这本身人们发现太多)。
到目前为止,我们已经讨论了适用于大多数人的能力和限制。但是,特定用户组将有额外的需求,这些需求应告知安全机制或流程的选择或配置。例如,儿童和老年人可能具有不同于工作年龄成年人的能力和限制(例如,运动技能)。手指较大的人很难准确地击中小目标,例如软键盘上的小键。需要考虑文化价值观和规范。还需要考虑用户的身体和精神状况。并非所有用户都能用手操作设备、从屏幕上阅读或听到音频。色盲等条件会影响相当多的人,因此需要检查用于图形认证的图像。
原文始发于微信公众号(河南等级保护测评):网络安全知识体系1.1人为因素(二):可用的安全性——基础
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论