it-swarm.com.de

Benutzerfreundlichkeit vs. Sicherheit

Diese Frage beschäftigt sich seit dem Lesen von Steveys Google Platforms Rant von Steve Yegge. (Der ursprüngliche Beitrag wurde entfernt.) Unter anderem behauptet er, dass Benutzerfreundlichkeit wichtiger ist als Sicherheit. Persönlich stimme ich zu, dass der sicherste Weg, Ihre Daten zu speichern, darin besteht, ein Kabel aus Ihrem Computer herauszuziehen, es vollständig auszuschalten und in einem Safe zu verriegeln ... Was ist Ihrer Meinung nach die richtige Mischung aus Sicherheitsmaßnahmen und Benutzerfreundlichkeit?

1
Count Zero

Ich habe diese Frage ständig beantwortet und muss fast immer während der Testsitzungen Anpassungen vornehmen.

Der Beitrag ist richtig, dass wenn das Produkt nicht verwendbar oder zugänglich ist, es kein Produkt gibt, da es ein digitaler Rock wäre. Obwohl das Argument meiner Meinung nach ein wenig fehlerhaft ist.

Wenn Sie das Argument anders betrachten ... ist es dem Benutzer egal, was auf Systemebene passiert, nachdem er auf die Schaltfläche "In den Warenkorb" geklickt oder sich sogar angemeldet hat. Sie kümmern sich nur darum, dass ihre angenommenen Erwartungen (d. H. Das richtige Produkt zum richtigen Preis und zur richtigen Menge in den Warenkorb gelegt werden) erfüllt werden. Berücksichtigen Sie für die Mehrheit der Benutzer, mit denen ich über Tests und Interviews gesprochen habe, die Sicherheit nur, wenn etwas die Antwort auslöst, z. B. eine Sozialversicherungsnummer oder ein ähnliches Feld, eine SSL-Warnung des Browsers oder sogar ein Bild einer Sperre zum Beispiel.

Auf einer breiten Ebene sind Benutzerfreundlichkeit und Sicherheit also ziemlich eigenständig, da Sie über ein sehr sicheres System verfügen können, das weiterhin verwendet werden kann. Wenn sie kollidieren, wird der Benutzer auf ein Sicherheitsbedenken aufmerksam und Sie müssen testen, wie Sie die Bedenken des Systems und die Bedenken des Benutzers gleichzeitig am besten angehen können. Es muss immer einen Kompromiss geben.

Wenn Kompromisse eingegangen werden müssen, beginne ich mit den folgenden Regeln und optimiere sie nach dem Testen/Überprüfen.

  1. Fordern Sie die Sicherheitsanforderungen heraus (können beispielsweise nur die letzten 4 Ziffern einer Sozialversicherungsnummer anstelle der gesamten Sache verwendet werden?).

  2. Geben Sie dem Benutzer mehr Kontrolle und Sichtbarkeit seiner Sicherheit (z. B. beschränken Sie die Kennwortmuster nicht, stellen Sie jedoch sicher, dass eine Sicherheitswarnung oder eine Kennwortstärkeanzeige vorhanden ist, damit er weiß, wie unsicher das Kennwort ist, das er für alles verwendet).

  3. Rechtliche Vorteile - Wenn eine gesetzliche Anforderung hinsichtlich einer Sicherheitsanforderung besteht, die sich auf den Benutzer auswirkt, informieren Sie den Benutzer und implementieren Sie die Sicherheitsmaßnahme.

Auch dies muss für Ihre Szenarien getestet und überprüft werden. Dies ist jedoch das, womit ich normalerweise beginne. Es ist erstaunlich, wie viele Konflikte diese drei Regeln für Entwickler und Benutzer gleichermaßen ausgleichen können.

2
JamesEggers

Vergessen Sie nicht, dass je nach Situation eine bessere Benutzerfreundlichkeit tatsächlich mehr Sicherheit bietet:

  • Wenn die Sicherheitsmechanismen zu kompliziert sind, entscheiden sich Benutzer häufig dafür, sie überhaupt nicht zu verwenden. (Um es ganz klar auszudrücken: Warum wird Blackberry weniger verwendet als das iPhone?)
  • Wenn eine schlechte Benutzerfreundlichkeit das Verständnis des Schutzes durch den Sicherheitsmechanismus behindert, wird der Benutzer einen Weg finden, dies zu umgehen. (Wenn Sie beispielsweise ein Passwort mit 20 Zeichen benötigen, wird es definitiv aufgeschrieben. Ist dies wünschenswert?)
  • Eine Sicherheitsmaßnahme kann auch die Benutzerfreundlichkeit beeinträchtigen, wenn eine Fehlfunktion durch Ausnutzung verursacht wird. (Der Benutzer eines gehackten Telefons gibt dem Hersteller die Schuld, nicht sich selbst.)
  • Eine schlechte Benutzerfreundlichkeit kann zu einem falschen Vertrauensgefühl führen. (Wenn ich mich anmelden muss, um meinen Inhalt zu sehen, gehe ich davon aus, dass alle anderen das Gleiche tun müssen, auch wenn dies nirgends explizit "versprochen" wird.)

Literatur-Empfehlungen:

Sicherheit und Benutzerfreundlichkeit - Entwerfen sicherer Systeme, die von Menschen verwendet werden können (O'Reilly)
Es wird versucht, die IT-Sicherheit (Authentifizierung, Datenschutz, ...) unter psychologischen Gesichtspunkten der Benutzerfreundlichkeit neu zu definieren.

2
giraff