Суеверия техники безопасности / Театр безопасности

05.10.2019

Пример театра безопасности - это правило, требующее снимать обувь при проверках в аэропорту. Это не помогает ловить террористов, но заставляет пассажиров ощущать себя в большей безопасности, а ответственных лиц - чувствовать, что они что-то делают. Скорее это демонстрация силы и власти, а не практическая мера.

А суеверие в области безопасности подразумевает введение каких-либо мер на основании того, что это делают другие.

Вот Вам предупреждение от веб-сайта Thomson Reuters, которое предлагает выполнить следующие действия:

*Пожалуйста, поменяйте Ваш пароль. Он должен содержать минимум 8 символов. Один символ должен быть большой буквой. Один символ должен быть маленькой буквой. Один символ должен быть цифрой. Один символ должен быть не альфанумерическим. Ваш логин не может находится внутри пароля. Первая и последняя буква Вашего логина не может присутствовать в пароле. Ваш пароль не может включать слов из списка часто встречающихся паролей.

Это профессиональная халатность. Нет, это не доктор, который даёт Вам неправильное лекарство. Но это определенно тот человек, который должен понимать цену ошибки, которая будет стоить бесчисленным пользователям много времени и денег.

Длинные пароли работают лучше, чем короткие. Но пароли, которые невозможно запомнить, пишутся по электронной почте и на бумажках людьми, которые ещё не поняли, что им нужен менеджер паролей. То, что люди меняют свои пароли, часто создаёт только большее количество писем во входящих. Настаивать на тайных правилах не что иное, как театр плюс суеверия.

Непонятные, но повсеместно принятые практики, которые тратят наше время и делают наши системы менее безопасными, хотя и создаются с противоположными целями.

Программное обеспечение управляет нашим миром. Легко создавать небезопасное, сложное в использовании и разочаровывающее программное обеспечения, а затем принуждать людей к его использованию. Но это требует лидерства и проницательности, а не бездумного суеверия.



Оригинал публикации:
Security superstition/Security theater