Компьютерра, 2008 № 29 (745) - страница 19

Шрифт

Интервал

Из-за существенных расхождений между реальной ситуацией и ее восприятием возникает масса проблем, потому что люди принимают решения на основе своих ощущений, а не реальности.

В теории уже имеется понимание, что всякое проектирование безопасности — по природе своей дело психологическое. Однако очень многие разработчики систем безопасности этот факт игнорируют. А укоренившиеся в сознании людей когнитивные предрассудки и предубеждения ведут к неверной оценке рисков. Хорошо известно, скажем, что в автомобили практически все люди садятся без страха, хотя жертв на дорогах гораздо больше, чем в небе. Напротив, в салоне авиалайнера многие чувствуют себя менее безопасно, чем это есть на самом деле. Другой созвучный пример — из Интернета. Знакомая всем пиктограмма ключика или замка в углу окошка браузера, обозначающая защищенный сеанс, заставляет людей чувствовать себя в большей безопасности, хотя сама по себе никакой гарантией она не является.

Беда в том, что подобного рода предрассудки успешно используются злоумышленниками. Многие атаки на информационные системы эксплуатируют психологию в большей степени, нежели технологию. Все уже, наверное, наслышаны о фишинг-атаках, обманом завлекающих людей на фальшивые веб-сайты, которые выглядят как подлинные, но в действительности воруют пароли.

Технические меры, конечно, могут предотвратить часть фишинг-атак, однако важнейшим звеном тут являются люди, предостеречь которых от глупых действий и неверных решений гораздо труднее. И сегодня атаки, базирующиеся на обмане, представляют самую большую угрозу для онлайновой безопасности.

Чтобы быть эффективными, системы защиты должны быть удобны в использовании и понятны не только компьютерным асам, но и самым обыкновенным людям. А всякое исследование о практичной и удобной безопасности — не только в сети, но и в быту, в жизни, повсюду — неизбежно должно иметь психологический компонент. Ныне, к счастью, диалог между исследователями в областях безопасности и психологии начал быстро расширяться. Здесь сходятся все больше и больше дисциплин — от практической безопасности в инжиниринге, дизайне протоколов, приватности и политике с одной стороны, до социальной психологии, эволюционной биологии и поведенческой экономики — с другой.

Личность как пароль

Пользователям Интернета наверняка доводилось сталкиваться с вебсайтами, которые желают знать о посетителе примерно такие вещи: имя первой учительницы, или имя любимого домашнего животного, или девичью фамилии матери, или, скажем, год окончания школы.

Это лишь некоторые из типичных "контрольных вопросов" регистрации, которые сайты зададут клиентам, если те вдруг забыли пароль доступа к своему аккаунту и хотели бы его восстановить. Как показывает практика, многим людям вспомнить через несколько лет свой собственный ответ на контрольный вопрос почти так же трудно, как вспомнить забытый пароль.

С другой стороны, эта же технология чрезвычайно облегчает несанкционированный владельцем доступ к аккаунту, поскольку радикально сокращает количество опробуемых вариантов пароля. Например, вариантов с годом окончания школы раз-два и обчелся. Что же касается других вопросов, то в Сети известны места, где собраны типичные клички домашних животных, распространенные имена людей и тому подобные списки.

Понятно, что для алгоритма восстановления пароля хотелось бы иметь нечто более надежное и эффективное. Об одном из новых альтернативных решений на конференции в Бостоне рассказал Маркус Джекобсон (Markus Jakobsson), ведущий ученый PARC, Исследовательского центра Пало-Альто. В новом методе, поэтично названном Blue Moon Authentication, при регистрации нового пользователя программа просит дать ответы типа "да/нет" на довольно длинный список вопросов о личных предпочтениях: нравится или нет вам музыка стиля панк-рок, игра гольф, блюда южной кухни и т. п. И если вдруг случится конфуз с позабытым паролем, то клиенту предъявляется уже известный перечень вопросов. Но тут для восстановления пароля не надо ничего вспоминать — надо просто быть самим собой.