Полезная безопасность
Subfield of Computer Science and Cybersecurity

Используемая безопасность — это подраздел компьютерной науки , взаимодействия человека с компьютером и кибербезопасности , занимающийся разработкой пользовательского интерфейса систем кибербезопасности. [1] В частности, используемая безопасность фокусируется на обеспечении того, чтобы последствия взаимодействия с компьютерными системами, например, через диалоговые окна оповещений , были доступны и понятны для пользователей-людей. Это отличается от метода разработки программного обеспечения « безопасность по замыслу» тем, что он подчеркивает человеческие аспекты кибербезопасности, а не технические. Используемая безопасность также находится в оппозиции к идее безопасности через неизвестность , работая над тем, чтобы пользователи знали о последствиях своих решений для безопасности. [2] [3]

История

Usable security впервые была установлена ​​учеными-компьютерщиками Джерри Солтцером и Майклом Шредером в их работе 1975 года The Protection of Information in Computer Systems [4] , которая теперь в разговорной речи называется принципами проектирования Солтцера и Шредера . Принципы привлекают внимание к «психологической приемлемости», утверждая, что дизайн интерфейса должен соответствовать ментальной модели системы пользователя. Авторы отмечают, что ошибки безопасности могут возникать, когда ментальная модель пользователя и базовая работа системы не совпадают.

Несмотря на работу Зальцера и Шредера, широко распространенным мнением было и остается то, что безопасность и удобство использования изначально находятся в конфликте; либо безопасность через неясность является предпочтительным подходом, либо дискомфорт и замешательство пользователя являются просто требованием для обеспечения хорошей безопасности. [5] Одним из таких примеров являются системы входа пользователей. Когда пользователь вводит неверные данные для входа, система должна ответить, что имя пользователя и/или логин неверны, не уточняя, какой из вводимых данных неверен (имя пользователя или пароль), это может быть использовано злоумышленником для определения действительных пользователей в системе, которые затем могут стать целью атак с подбором пароля или аналогичной эксплуатации. [6] Хотя это может вызвать некоторое раздражение у пользователя, такой подход действительно обеспечивает повышенный уровень безопасности.

Только в 1995 году с публикацией "User-Centered Security" [7] Мэри Эллен Зурко и Ричарда Т. Саймона то, что сейчас называется usable security, стало отдельной областью исследований и проектирования. Этот сдвиг в значительной степени обусловлен большим вниманием к тестированию удобства использования и обеспечением того, чтобы аспекты безопасности были понятны в процессе проектирования и разработки, а не добавлялись в качестве второстепенной мысли.

Научные конференции

Хотя исследования в области безопасности, применимой к использованию, широко принимаются на многих конференциях по HCI и кибербезопасности , специализированными площадками для такой работы являются:

  • EuroUSEC: Европейский симпозиум по вопросам безопасности, пригодной для использования [8]
  • HAS: Международная конференция по человеческим аспектам информационной безопасности, конфиденциальности и доверия [9]
  • Всемирная конференция IFIP по образованию в области информационной безопасности [10]
  • STAST: Международный семинар по социально-техническим аспектам безопасности [11]
  • TrustBus: Международная конференция по доверию и конфиденциальности в цифровом бизнесе [12]
  • USEC: Симпозиум по вопросам безопасности и конфиденциальности [13]

Смотрите также

Ссылки

  1. ^ Гарфинкель, Симсон; Липфорд, Хизер Рихтер (2014), «Введение», Usable Security , Cham: Springer International Publishing, стр.  1– 11, doi : 10.1007/978-3-031-02343-9_1, ISBN 978-3-031-01215-0, получено 2022-12-01
  2. ^ Рено, Карен; Фолькамер, Мелани; Ренкема-Падмос, Арне (2014), Де Кристофаро, Эмилиано; Мердок, Стивен Дж. (ред.), «Почему Джейн не защищает свою конфиденциальность?», Технологии улучшения конфиденциальности , т. 8555, Cham: Springer International Publishing, стр.  244–262 , doi :10.1007/978-3-319-08506-7_13, ISBN 978-3-319-08505-0, S2CID  9509269 , получено 2022-12-01
  3. ^ Йи, Ка-Пинг (2004). «Согласование безопасности и удобства использования». IEEE Security & Privacy . 2 (5): 48– 55. doi :10.1109/MSP.2004.64. ISSN  1558-4046. S2CID  206485281.
  4. ^ Смит, Ричард (2012). «Современный взгляд на принципы проектирования Солцера и Шредера 1975 года». Журнал IEEE Security & Privacy : 1. doi :10.1109/msp.2012.85. S2CID  13371996. Получено 28.12.2023 .
  5. ^ Гарфинкель, Симсон; Липфорд, Хизер Рихтер (2014), «Краткая история исследований конфиденциальности и безопасности Usable», Usable Security , Cham: Springer International Publishing, стр.  13–21 , doi :10.1007/978-3-031-02343-9_2, ISBN 978-3-031-01215-0, получено 28.12.2023
  6. ^ Нильсен, Якоб (1993). Проектирование удобства использования . Бостон Сан-Диего Нью-Йорк [и т.д.]: Academic Press. ISBN 978-0-12-518405-2.
  7. ^ Зурко, Мэри Эллен; Саймон, Ричард Т. (1996). «Безопасность, ориентированная на пользователя». Труды семинара 1996 года по новым парадигмам безопасности — NSPW '96 . ACM Press. стр.  27–33 . doi :10.1145/304851.304859. ISBN 978-0-89791-944-9.
  8. ^ "EUROUSEC Conference - Home". ACM Digital Library . Получено 2023-12-28 .
  9. ^ "Международная конференция по человеческим аспектам информационной безопасности, конфиденциальности и доверия". link.springer.com . Получено 28.12.2023 .
  10. ^ "Всемирная конференция IFIP по образованию в области информационной безопасности". link.springer.com . Получено 28.12.2023 .
  11. ^ "Международный семинар по социально-техническим аспектам безопасности". link.springer.com . Получено 28.12.2023 .
  12. ^ "Международная конференция по доверию и конфиденциальности в цифровом бизнесе". link.springer.com . Получено 28.12.2023 .
  13. ^ "Симпозиумы по супам | USENIX". www.usenix.org . Получено 28.12.2023 .
Retrieved from "https://en.wikipedia.org/w/index.php?title=Usable_security&oldid=1243472013"