以人为本的安全(Human-centered Security)
什么是以人为本的安全?
第一次接触到这个短语是在网络安全课上。教授讲,设计或者开发某个安全机制的时候,如果该安全机制的可用性(usability)较低,那么这个安全机制的安全等级就会骤然降低。比如下图:
图中所示的是Bianchi等人开发的一个相对难以解密的手机解锁模式,比起容易被识破的四位或者六位的PIN密码来说,这个PhoneLock模式加密的密钥空间要大得多。图中的英文显示:“这种解锁方式平均解锁一次需要12秒钟,人们一天解锁手机的次数大概在40-80次”。也就是说,如果用这种方式来解锁手机的话,人们一天需要花费8-16分钟在手机解锁上。
很显然,这是一件极度需要耐心才能做到的事。而在一条推送进来,我们需要解锁手机交互的时候,人们可能会更倾向于安全级别较低但快速简便的方式。
我们将人机交互的过程简单抽象成用户想要获取一份文件,如图。
安全抽象成这个用户希望自己在获取文件的这个过程中信息是受到保护的。如下图,这也常常是安全专家们所期望看到的情形。
但实际上,如果安全机制的可用性太低,让人们觉得十分麻烦的话。人们往往会绕开这个安全机制。开发人员会白费工,用户也对其产生抵触情绪。
所以简单来讲,以人为本的安全就是要在安全机制的设计过程中,时时考虑用户的使用体验。让安全成为人机交互中自然地、让人无负担感的一部分。
下一次来谈谈“以人为本的安全”正面领着哪些挑战。