Security Usability

สมัยผมเรียน มีวิชาหนึ่งต้องล็อกอินเข้าเซิร์ฟเวอร์เพื่อทำงาน แต่เซิร์ฟเวอร์สามารถส่งข้อความถึงกันเองได้ ทำให้รบกวนเพื่อนตอนทำงานเพราะหน้าจอเต็มไปด้วยข้อความของเพื่อนคนอื่นๆ

อาจารย์สั่งให้ปิดฟีเจอร์รับข้อความนี้เสีย หลายคนเล่นง่ายด้วยการส่งข้อความหาเพื่อนทุกคนแล้วบอกว่า “อย่าส่งข้อความมา”

ความปลอดภัยในโลกความเป็นจริงคงไม่ต่างจากนี้ ผู้ใช้ต้องการใช้งานในรูปแบบที่ตัวเองใช้งานอยู่ โดยไม่ได้สนใจว่ามีวิธีใช้งาน “ที่ควรเป็น” หรือไม่ ถ้ามันทำงานได้ เขาจะทำแบบนั้น

การโทษผู้ใช้ว่าทำแบบนี้แล้วไม่ปลอดภัยก็คงโทษได้ แต่สุดท้ายมันก็ไม่ได้อะไรขึ้นมา เราอาจจะต้องอาศัยแนวคิด บังคับให้ปลอดภัย

  • เว็บเมลบังคับเข้ารหัสเป็นจุดเริ่มที่ดี แอพแชตทั้งหลายก็เริ่มเข้ารหัสเป็นธรรมดาแล้ว
  • เบราว์เซอร์ในอนาคตอาจจะต้องมี SSL Enforcer เปิดมาในตัวเสมอ และหากใช้งานไม่ได้จะกลายเป็นความผิดของเว็บ
  • HTTP2.0 เข้ารหัสโดยไม่ต้องถามล่วงหน้า เข้ารหัสให้มากที่สุดเท่าที่เป็นไปได้
  • เว็บในอนาคตอาจจะต้องมี password generator ให้บริการ password 6 ตัวแรกสุ่มให้จากเว็บ เพื่อรับประกันว่าจะได้รหัสผ่านที่ปลอดภัยเสมอ
  • แอพแชตอาจจะต้องบังคับแชตได้ไม่เกิน 3 วันก่อนจะต้องแลก public key เพื่อยืนยันตัวตน

เราทำกระบวนการเหล่านี้ให้กลายเป็นเรื่องธรรมดา เป็นสิ่งที่ต้องทำ วันหนึ่งโลกอาจจะปลอดภัยเป็นค่ามาตรฐาน

 

lewcpe

CTO at MFEC PLC. Chief Editor at Blognone.com