Security Lab

Почему пароль должен показываться звездочками?

Почему пароль должен показываться звездочками?
Продолжаю раскрывать впечатления от Инфоберега. На пленарном заседании выступал советник министра связи и массовых коммуникаций Дмитрий Сатин. Очень интересное выступление. Интересное по следующим причинам. Во-первых, он говорил живо, не по бумажке. Да и одет был неформально, что располагало к себе.

Во-вторых, Сатин сразу заявил, что он гуманитарий и будет говорить про информационную безопасность именно с этой позиции. И тут он выдал... Первый приведенный им пример. Губернаторы часто пишут в Минкомсвязь и жалуются лично министру (видимо, про существование ФСТЭК они не знают) гневные письма о том, что им сложно вводить пароль в различные государственные информационные системы, т.к. он отображается звездочками!!! Чтобы быть ближе к аудитории он сразу привел смежный пример. Вот, представьте, что вы получаете одноразовый код для доступа к ДБО по SMS. Получаете вы его в открытом виде? Да. Так зачем в интерфейсе ДБО его вводить звездочками? Особенно в тех случаях, когда ДБО у вас мобильная и SMS вы получаете на этот же смартфон? Неожиданный вопрос :-)

Дальше больше. Второй пример Сатина касался нашего премьер-министра, который при очередном посещении какой-то поликлиники для изучения опыта электронной регистрации на прием к врачу высказал претензию, что CAPTCHA, используемая для отсечения ботов-мошенников, которые будут регистрироваться, а потом продавать места в электронных очередях, слишком неудобна и от нее надо отказаться.

Оба примера очень неплохо иллюстрируют отношение властей к информационной безопасности. Во-первых, полное непонимание ИБ, а точнее понимание со своей позиции, отличной от принятой у безопасников. Во-вторых, становится понятно отношение Минкомсвязи к безопасности. Я все удивлялся, почем после прихода Никифорова был сокращен отдел ИБ? Почему министр полностью игнорирует все запросы по теме ИБ? Почему в концепции развития отрасли до 2018-го года тема ИБ вообще не звучит? Почему при обсуждении даже связанных с ИБ тем (госуслуги, электронных платежи, УЦ и т.п.) о теме ИБ все равно все молчат? А теперь стало понятно - для молодого министра и его команды тема ИБ - это бельмо на глазу. Она МЕШАЕТ. Мешает развитию ИТ, мешает развитию отрасли, мешает внедрению новых сервисов и услуг...

Но была и еще одна часть в выступлении Сатина, которая мне понравилась. Касалась она эргономики ИБ (usability). Мне эта тема хорошо знакома - я про нее писал неоднократно . И вот тут Дмитрий Сатин вступил на знакомые ему рельсы, т.к. он в последнее время регулярно говорил об удобстве использования... Правда не ИБ, а сайтов госструктур. Но это темы близкие и поэтому советник министра достаточно неплохо описал, каким требованиям должна удовлетворять система ИБ и какими метриками оценивать ее не с точки зрения традиционной, ИБшной, не с точки зрения финансовой, а с точки зрения пользовательской - "удобно или неудобно". В качестве примера документа, описывающего возможные требования к системе ИБ с точки зрения именно удобства Дмитрий Сатин привел ГОСТ Р ИСО 9241-11 "Эргономические требования к проведению офисных работ с использованием видеодисплейных терминалов (VDT). Часть 11. Руководство по обеспечению пригодности использования". Не смотрите на то, что этот ГОСТ ориентирован на дисплеи - важна общая идея.

А сам ГОСТ очень неплох с концептуальной точки зрения. Он описывает пошаговую процедуру разработки удобного в использовании интерфейса. Удобного, значит пользователи не будут его обходить или "сносить"всеми правдами и неправдами. ГОСТ Р ИСО 9241-11 говорит, что прежде чем что-то делать ответьте на следующие вопросы:

  • кто ваш пользователь?
  • каковы его задачи?
  • как он будет пользоваться вашей системой?
  • в какой среде он будет пользоваться вашей системой?
Ответив на эти вопросы можно сформировать список требований к интерфейсам и список возможных ограничений, что уже является залогом половины успеха. А оценивать удобство ГОСТ предлагает по 3-м критериям - эффективность, результативность и удовлетворенность пользователя.

Посмотрите на этот стандарт . Он небольшой - всего 28 страниц (из них 15 - приложения) и изобилует множеством практических примеров. Я думаю, он будет полезен не только разработчикам средств и систем защиты, но и тем, кто их внедряет или проводить аудиты. Все-таки человек - самое слабое звено в ИБ и знать, почему он обходит СЗИ или делает ошибки, приводящие к инцидентам, полезно.
Usability Минкомсвязь психология стандарты
Alt text

Где кванты и ИИ становятся искусством?

На перекрестке науки и фантазии — наш канал

Подписаться