Pull to refresh

Microsoft подсчитала: менять пароли невыгодно

Information Security *
Один из основных советов по безопасности — периодически менять свои пароли на разных сайтах — не является правильным с точки зрения пользователя.

Кормак Херли (Cormac Herley), один из ведущих исследователей Microsoft Research, опубликовал работу, в которой приводятся расчёты по соотношению трудозатрат и выгод от смены паролей. Оказалось, что эта процедура, в конечном счёте, не выгодна для пользователя, как и некоторые другие процедуры по безопасности, пишет NY Times.

Собственно, многие из обычных пользователей чувствуют это на интуитивном уровне. Если у них нет какой-то ценной информации, то зачем тратить силы и время на защиту. Теперь Microsoft подтвердила это официально.

Специалисты по безопасности давно призывают к образованию юзеров и повышению их грамотности. Херли доказывает, что такой подход в корне неверен.

«Большинство советов по безопасности просто предлагают пользователю невыгодное соотношение выгоды к затратам», — пишет Кормак Херли. По его словам, особой глупостью являются меры безопасности на многих веб-сайтах. Например, если сайты требуют периодически менять пароль. Трудно себе представить, что узнавший пароль злоумышленник будет ждать, пока пароль сменят. То есть в случае кражи пароля его смена практически бесполезна, потому что если бы взлом был возможен, он бы уже произошёл.

Херли считает, что некоторые другие меры безопасности тоже являются для пользователя невыгодной сделкой, в том числе чтение сообщений в браузере о просроченном сертификате сайта, когда большинство таких сообщений не представляют собой угрозы.

По словам ведущего исследователя Microsoft, обычных людей заставляют предпринимать слишком много шагов для защиты собственного компьютера. Он говорит, что когда меры безопасности не соблюдаются, то специалисты по безопасности привыкли говорить о неграмотности пользователей, но они обычно не учитывают стоимость их времени. По их мнению, время пользователя бесплатно. На самом же деле людям просто невыгодно соблюдать большинство из этих сложных процедур.

Херли приводит такой расчет: если брать близкую к минимальной стоимость оплаты труда, то одна минута в день, потраченная ежедневно 200 миллионами американских пользователей, стоит обществу примерно $16 млрд в год. Именно такую цену требуют специалисты по безопасности за соблюдение своих процедур. Это слишком много.

Например, ежегодный ущерб банков от фишинга составляет около $60 млн. Если заставлять клиентов банка тратить хотя бы несколько минут на защиту от фишинга, то стоимость защиты в десятки раз превысит возможный ущерб. Эти издержки частично ложатся и на сами банки, которые вынуждены внедрять новые сервисы и осуществлять техническую поддержку пользователей по поводу новых процедур. В итоге расходы на защиту многократно превышают ущерб.

Исследование Херли было опубликовано на слушаниях по компьютерной безопасности в Оксфордском университете ещё прошлой осенью (PDF), но широкое обсуждение среди специалистов этой теории началось примерно месяц назад, после статьи в TechRepublic.
Tags:
Hubs:
Total votes 116: ↑94 and ↓22 +72
Views 4.6K
Comments Comments 235