NIST รายงานการศึกษาพฤติกรรม ระบบต้องระวังไม่ให้ผู้ใช้ "เหนื่อยล้ากับความมั่นคงปลอดภัย"

By: lew

on 8 October 2016 - 14:30 Tags:

Topics:

NIST

Security

Psychology

เจ้าหน้าที่ฝ่ายไอทีกับผู้ใช้ในองค์กรคงมีปัญหากันบ่อยๆ เมื่อผู้ใช้ไม่ได้ระมัดระวังตัวเองกับความปลอดภัยต่างๆ หรือหาทางข้ามมาตรการที่องค์กรวางไว้อยู่เรื่อยๆ แต่รายงานใหม่ของ NIST ระบุว่าปัญหานี้อาจจะไม่ใช่ปัญหาของตัวผู้ใช้เองแต่เป็นระบบที่ออกแบบไม่ได้คำนึงถึงผู้ใช้

รายงาน "Security Fatigue" เป็นการสำรวจผู้ใช้ด้วยการสัมภาษณ์ผู้ใช้งาน 40 คน คนละ 45-60 นาที โดยสอบถามถึงการใช้งานระบบความปลอดภัย ตั้งแต่ไอคอน เครื่องมือ และคำศัพท์ต่างๆ ที่ผู้ใช้ต้องเจอ และวิเคราะห์ว่าอะไรเป็นสาเหตุทำให้ผู้ใช้เหนื่อยล้ากับความมั่นคงปลอดภัย และผลเมื่อผู้ใช้เหนื่อยล้ากับระบบขึ้นมา

ผู้ให้สัมภาษณ์หลายคนไม่คิดว่าตัวเองจะเป็นเป้าหมายของการโจมตีไซเบอร์ และคิดว่าข้อมูลของตัวเองไม่สำคัญพอที่จะมีใครมาแฮกเอาไป ขณะที่อีกกลุ่มหนึ่งมองว่าหน้าที่การรักษาความปลอดภัยเป็นความรับผิดชอบของหน่วยงานอื่น เช่น ธนาคารหรือผู้เชี่ยวชาญ

รายงานระบุว่าข้อมูลที่ได้จากการสำรวจครั้งนี้แสดงให้เห็นว่า ผู้ออกแบบระบบควรคำนึงถึง 3 แนวทางเพื่อป้องกันไม่ให้ผู้ใช้เหนื่อยล้ากับความมั่นคงปลอดภัย ได้แก่

จำกัดจำนวนการตัดสินใจของผู้ใช้ไม่ให้มากเกินไป
ทำให้ผู้ใช้เลือกทางเลือกที่ถูกต้องได้ง่ายขึ้น
ออกแบบให้เป็นแนวทางเดียวกันเสมอเมื่อเป็นไปได้

บ้านเราคนทำระบบที่ต้องการความมั่นคงปลอดภัยสูงๆ ถ้าพิจารณารายงานนี้ได้จะดีมาก อย่าไปสลับปุ่ม ยกเลิก/ยอมรับ ไปมาเล่นๆ, อย่าไปพยายามทำปุ่ม ไม่ยอมรับ ให้เบลอๆ อ่อนๆ อย่าไปหลอกล่อผู้ใช้ไปมา

ที่มา - NIST , The Register

Hiring! บริษัทที่น่าสนใจ

LINE MAN Wongnai

Join our journey to becoming No.1 food platform in Thailand

Seven Peaks

We Drive Digital Transformation

KBTG - KASIKORN Business-Technology Group

KBTG - "The Technology Company for Digital Business Innovation"

Comments

By: sukjai

on 8 October 2016 - 14:40 #945349

อืมเห็นด้วย

By: Architec

on 8 October 2016 - 14:45 #945351 Reply to:945349

~~อืมกินดิ~~

ผมเองก็กำลังเล็งๆ ubikey ใช้กับระบบอยู่ ไม่ต้องให้ user งมหา otp ในแอพหรือโทเคนแล้วต้องกรอก (เบื่อ user ขี้บ่น)

By: hail_to_the_thief

on 9 October 2016 - 20:46 #945577 Reply to:945351

YubiKey มันหายบ่อยนะครับ 55 แล้ว user ชอบคา key มันไว้ที่เครื่องนั่นแหละ อาจไม่ค่อยตรงกับวัตถุประสงค์ของ Second fac authen เท่าไหร่

ผมใช้ YubiKey ไม่กี่เดือน แล้วก้อย้ายไป google authen แทน แต่ใครถนัดใช้ YubiKeyยังใช้กันต่อไป

By: secure on 8 October 2016 - 14:42 #945350

คิดถึงตู้ atm กรุงเทพที่ปุ่มยอมรับพร้อมเพล์อยู่ด้านขวาเลย

By: azzendix

on 8 October 2016 - 16:14 #945364 Reply to:945350

ATM ธนาคารกรุงเทพ
ท่านต้องการรับใบเสร็จหรือไม่ : ต้องการ(ซ้าย) กับ ไม่ต้องการ(ขวา)
ท่านต้องการเข้าร่วมพร้อมเพย์หรือไม่ : ไม่ต้องการ(ซ้าย) กับ ต้องการ(ขวา)

คนทำระบบกล้าบอกมั้ยว่าไม่ได้ตั้งใจ?

By: wichate

on 8 October 2016 - 17:02 #945371 Reply to:945364

ผมชัดจะเริ่มเกลียดพร้อมเพย์ ก็เพราะแบบนี้หมือนกัน(เหมือนดูถูกว่าเราโง่ สลับปุ่มเดี๋ยวมันก็ต้องเผลอกดสมัคร อิอิ)

By: tk719

on 8 October 2016 - 18:45 #945399 Reply to:945350

ใช้บัตรต่างธนาคารกดตู้กรุงเทพ ยังถามพร้อมเพย์เลย สงสัยอยู่ว่าถ้ากดยอมรับจะทำยังไง

By: Polwath

on 8 October 2016 - 18:59 #945403 Reply to:945399

จริงๆ มันควรจะเลิกถามหรือขึ้น POP-UP ตั้งแต่ตอนกดไม่ยอมรับแล้วครับ และไม่ใช่เฉพาะ ATM และธนาคารกรุงเทพอย่างเดียว ธนาคารทุกเจ้าเป็นแบบนี้กันหมดเลย รวมถึงระบบ e-banking ด้วย

น่าเบื่อจริงๆ

Get ready to work from now on.

By: mr_tawan

on 8 October 2016 - 15:13 #945355

Password ที่ต้องเปลี่ยนทุกเดือน

9tawan.net บล็อกส่วนตัวฮับ

By: lew

on 8 October 2016 - 18:44 #945398 Reply to:945355

ซึ่งจริงๆ ช่วงหลังแนวทางใหม่ๆ ก็ไม่แนะนำให้บังคับกันแล้วครับ (แต่มาตรฐานเก่าๆ ยังมีผลอยู่)

lewcpe.com , @wasonliw

By: mr_tawan

on 10 October 2016 - 02:25 #945609 Reply to:945398

ผมเคยเสนอไปสองสามครั้งแล้วครับ และคำตอบที่ได้คือ "ไม่ได้อยู่ในฐานะที่เปลี่ยนแปลงอะไรได้" ซึ่งทำให้เซ็งมาก

ที่สำคัญคือนอกจาความถี่ในการเปลี่ยนพาสเวิร์ดแล้ว จำนวนพาสเวิร์ดที่ใช้ก็มีมากด้วย (มากกว่าสิบตัว)

9tawan.net บล็อกส่วนตัวฮับ

By: lew

on 10 October 2016 - 11:10 #945707 Reply to:945609

ไม่แปลกครับ พวกนี้กว่าจะเปลี่ยนกฎกันเป็นลำดับได้ต้องใช้เวลาอีกเป็นปี

อย่างพวก ISO 27000 หรือ PCI-DSS ก็ยังมีกฎพวกนี้กันอยู่ครับ ในหน่วยงานที่ต้องทำตามจะไปชี้ว่าคำแนะนำใหม่ๆ มันเปลี่ยนแล้วจะไม่ทำตามคงไม่ได้ ก็ต้องรอให้มันปรับกฎกันอีกระยะ

และจริงๆ แล้วคำแนะนำมันเปลี่ยน ก็ต้องดูรายละเอียดดีๆ ด้วยว่าเขาพูดยังไง อย่าง GCHQ ไม่แนะนำให้บังคับเปลี่ยนรหัส แต่ก็มีคำแนะนำเรื่องการแจ้งเตือนเมื่อล็อกอินเพิ่มเข้ามา อย่างพวกเซิร์ฟเวอร์จะไปถอดกฎการบังคับเปลี่ยนรหัสออก ก็ต้องตอบให้ได้ว่าจะมีกระบวนการแจ้งเตือนกันยังไง ถ้าแจ้งเตือนไม่ได้จะทำอย่างไร ฯลฯ ไม่ใช่อยู่ๆ จะไปเลิกทำได้ตามใจชอบ

แต่แนวโน้มโดยรวมๆ ผมเชื่อว่ามาตรฐานความปลอดภัยรุ่นต่อๆ ไปก็จะไปในแนวทางนี้ครับ ระดับคนทำงานที่ต้องทำตามมาตรฐานคงต้องภาวนาให้มาตรฐานมันปรับเร็วๆ

lewcpe.com , @wasonliw

By: illuminator

on 8 October 2016 - 23:15 #945451 Reply to:945355

เปลี่ยนกันทุกเดือน แต่รหัสที่เปลี่ยนนั้นคิดไม่ออก ได้แต่สลับตำแหน่งที่ไปมาทุกเดือน 555

By: mr_tawan

on 10 October 2016 - 02:24 #945608 Reply to:945451

Oct@2016
Nov@2016
Dec@2016

่วนไปวนไปครับ

9tawan.net บล็อกส่วนตัวฮับ

By: bahamutkung

on 8 October 2016 - 16:00 #945360

ย่อหน้าสุดท้ายนี่คนทำระบบคงคิดแล้วครับ แต่รัฐคิดตรงข้าม(แล้วคนทำระบบก็ต้องยอม)

ก็ยุคก่อการร้ายโดยรัฐนี่เนอะ /ยักไหล่

"With the first link, the chain is forged. The first speech censured, the first thought forbidden, the first freedom denied, chains us all irrevocably."

By: specimen

on 8 October 2016 - 20:11 #945413

บริษัทผม ใช้ lotus note ต้องเข้าผ่าน vpn ผ่าน laptop
พนักงานที่เคยใช้ gmail อยู่ ไม่ยอมใช้ เพราะปัจจุบัน ติดต่อผ่านลูกค้า real time ผ่านมือถือระบบใหม่ คุยกะลูกค้าได้เฉพาะตอนอยู่นิ่ง ๆ เปิดคอม ต่อไวไฟในโรงแรม
สุดท้าย ความปลอดภัย กลายเป็นไร้ประโยชน์ เพราะไม่มีใครยอมใช้

Lotus on mobile ก็มีแต่ไม่ให้ใช้ บนหน้าเว็บก็มี แต่เลวร้าย เคยได้ใช้มาก่อน สมัยที่ยังทำงานกะทีมเดิมสุดท้าย ความปลอดภัยอันสูงส่ง ก็ไร้ประโยชน์

By: wichate

on 10 October 2016 - 08:08 #945621 Reply to:945413

ความสะดวกมันเห็นผลเดี๋ยวนั้นเลย
แต่ความปลอดภัย ถ้ายังไม่เกิดเหตุก็ยังไม่เห็นประโยชน์ไงครับ
(ดังนั้นคนทั่วไปยังไงก็ต้องเลือกสะดวกก่อน)