关于安全强度与易用性冲突

在开始做信息安全的时候，总是希望自己所做的系统越安全越好，这也导致了系统安全功能越来越多，也越来越难用，与UI交互团队，与其它功能单位的冲突也越来越多，系统的安全推动也越来越困难。

是不是越安全越好，安全需要做到什么程度？

首先安全是有代价的，安全关注的是必然性，而软件、产品的开发关注的是可能性，因此安全与产品的研发存在根本的冲突。

一个好的安全设计，可以缓解产品开发与安全的冲突，但不能从根本上改变。

一个产品是不是越安全越好，这个问题需要最终用户来回答。

安全是有代价的，当安全对用户的行为产生影响时，用户就会做出不同的选择。

关于安全与易用性的冲突，举几个例子：

用户的背包VS保险柜

用户的背包，里面包含用户自己的一些个人物品，其基本上没有什么安全措施，非常方便，掀开就拿。

保险柜，里面藏着用户最重要的资产，你在打开的时候估计要花费一段时间。

对于用户来讲，易用性也并不是唯一的选择。

1、比如说快捷支付，用户购买东西可谓十分的方便，但用户不敢把大笔的资金都放在快捷支付上，他会将一小部分资金放在快捷支付，而将大笔资金放在银行，这样即使损失也只是损失一小笔资金。

当安全与易用性发生冲突时，用户自己会做出选择。选择的依据是其要保护资产的价值。

地铁检票的闸门VS动车的检票的闸门

北京地铁检票的闸门，只要你将票投进去就可以了，可以认为是单因子认证。