如果实施的安全措施没有提供任何额外的安全优势,是否会被认为是有害的?
例如,考虑一个登录页面,要求用户输入他们的用户名,然后输入两次密码(出于“安全原因”)。
这里有两个论点:
- 如果它让用户安心并且没有降低安全性,那么有什么危害呢?
- 如果没有实际的好处,给予用户的额外“安心”是有害的,因为它给了他们比有效的安全感更大的安全感。
我经常争论第二点,但第一种观点似乎更普遍——尤其是在商业界。
你怎么认为?是否应该积极删除多余的安全措施,还是保留它们真的没有害处?
注意:示例不是实际案例
不提供安全利益的“安全措施”实际上有害吗?
信息安全
Web应用程序
密码
安全剧院
2021-08-11 22:30:27
4个回答
任何“不提供任何额外 [...] 好处”的功能都应该被删除,无论是与安全相关还是其他方面。除了增加复杂性和摩擦之外,它还会引入额外的攻击面并最终降低您的安全性。
我同意上述评论以及一个相关的业务问题:安全措施要花钱(就像软件功能要花钱一样),而且企业的安全预算有限,通常还不够。无效控制的两个缺点是浪费了一些预算,以及董事会对其安全团队的印象比应有的差或效率低。
不,软件功能也是如此。
如果你生产的东西没有增加价值,那就是浪费。当谈到冗余安全时,浪费会更大,因为在 IT 系统中浪费的每一秒都会乘以每个用户。那是假设额外的安全“功能”需要用户时间。
即使它不直接影响用户,例如使用 chifers 进行双重加密并不会增加额外的安全性(例如 Ceasar),它仍然会降低性能。
通常正如彼得斯通所说,它增加了攻击面。关键是因为它没有被使用,它会被遗忘,因此在需要时不会考虑任何补丁。因此,攻击者可以专注于这些未打补丁的安全或功能特性来进行攻击,例如权限升级......
其它你可能感兴趣的问题