Tags:
Node Thumbnail

เจ้าหน้าที่ฝ่ายไอทีกับผู้ใช้ในองค์กรคงมีปัญหากันบ่อยๆ เมื่อผู้ใช้ไม่ได้ระมัดระวังตัวเองกับความปลอดภัยต่างๆ หรือหาทางข้ามมาตรการที่องค์กรวางไว้อยู่เรื่อยๆ แต่รายงานใหม่ของ NIST ระบุว่าปัญหานี้อาจจะไม่ใช่ปัญหาของตัวผู้ใช้เองแต่เป็นระบบที่ออกแบบไม่ได้คำนึงถึงผู้ใช้

รายงาน "Security Fatigue" เป็นการสำรวจผู้ใช้ด้วยการสัมภาษณ์ผู้ใช้งาน 40 คน คนละ 45-60 นาที โดยสอบถามถึงการใช้งานระบบความปลอดภัย ตั้งแต่ไอคอน เครื่องมือ และคำศัพท์ต่างๆ ที่ผู้ใช้ต้องเจอ และวิเคราะห์ว่าอะไรเป็นสาเหตุทำให้ผู้ใช้เหนื่อยล้ากับความมั่นคงปลอดภัย และผลเมื่อผู้ใช้เหนื่อยล้ากับระบบขึ้นมา

ผู้ให้สัมภาษณ์หลายคนไม่คิดว่าตัวเองจะเป็นเป้าหมายของการโจมตีไซเบอร์ และคิดว่าข้อมูลของตัวเองไม่สำคัญพอที่จะมีใครมาแฮกเอาไป ขณะที่อีกกลุ่มหนึ่งมองว่าหน้าที่การรักษาความปลอดภัยเป็นความรับผิดชอบของหน่วยงานอื่น เช่น ธนาคารหรือผู้เชี่ยวชาญ

รายงานระบุว่าข้อมูลที่ได้จากการสำรวจครั้งนี้แสดงให้เห็นว่า ผู้ออกแบบระบบควรคำนึงถึง 3 แนวทางเพื่อป้องกันไม่ให้ผู้ใช้เหนื่อยล้ากับความมั่นคงปลอดภัย ได้แก่

  1. จำกัดจำนวนการตัดสินใจของผู้ใช้ไม่ให้มากเกินไป
  2. ทำให้ผู้ใช้เลือกทางเลือกที่ถูกต้องได้ง่ายขึ้น
  3. ออกแบบให้เป็นแนวทางเดียวกันเสมอเมื่อเป็นไปได้

บ้านเราคนทำระบบที่ต้องการความมั่นคงปลอดภัยสูงๆ ถ้าพิจารณารายงานนี้ได้จะดีมาก อย่าไปสลับปุ่ม ยกเลิก/ยอมรับ ไปมาเล่นๆ, อย่าไปพยายามทำปุ่ม ไม่ยอมรับ ให้เบลอๆ อ่อนๆ อย่าไปหลอกล่อผู้ใช้ไปมา

ที่มา - NIST, The Register

Get latest news from Blognone

Comments

By: sukjai
iPhoneAndroidRed HatUbuntu
on 8 October 2016 - 14:40 #945349

อืมเห็นด้วย

By: Architec
ContributorWindows PhoneAndroidWindows
on 8 October 2016 - 14:45 #945351 Reply to:945349

อืมกินดิ

ผมเองก็กำลังเล็งๆ ubikey ใช้กับระบบอยู่ ไม่ต้องให้ user งมหา otp ในแอพหรือโทเคนแล้วต้องกรอก (เบื่อ user ขี้บ่น)

By: hail_to_the_thief
iPhone
on 9 October 2016 - 20:46 #945577 Reply to:945351

YubiKey มันหายบ่อยนะครับ 55 แล้ว user ชอบคา key มันไว้ที่เครื่องนั่นแหละ อาจไม่ค่อยตรงกับวัตถุประสงค์ของ Second fac authen เท่าไหร่

ผมใช้ YubiKey ไม่กี่เดือน แล้วก้อย้ายไป google authen แทน แต่ใครถนัดใช้ YubiKeyยังใช้กันต่อไป

By: secure on 8 October 2016 - 14:42 #945350

คิดถึงตู้ atm กรุงเทพที่ปุ่มยอมรับพร้อมเพล์อยู่ด้านขวาเลย

By: azzendix
iPhoneWindows PhoneAndroidWindows
on 8 October 2016 - 16:14 #945364 Reply to:945350

ATM ธนาคารกรุงเทพ
ท่านต้องการรับใบเสร็จหรือไม่ : ต้องการ(ซ้าย) กับ ไม่ต้องการ(ขวา)
ท่านต้องการเข้าร่วมพร้อมเพย์หรือไม่ : ไม่ต้องการ(ซ้าย) กับ ต้องการ(ขวา)

คนทำระบบกล้าบอกมั้ยว่าไม่ได้ตั้งใจ?

By: wichate
Android
on 8 October 2016 - 17:02 #945371 Reply to:945364

ผมชัดจะเริ่มเกลียดพร้อมเพย์ ก็เพราะแบบนี้หมือนกัน
(เหมือนดูถูกว่าเราโง่ สลับปุ่มเดี๋ยวมันก็ต้องเผลอกดสมัคร อิอิ)

By: tk719
iPhoneBlackberrySymbianIn Love
on 8 October 2016 - 18:45 #945399 Reply to:945350

ใช้บัตรต่างธนาคารกดตู้กรุงเทพ ยังถามพร้อมเพย์เลย สงสัยอยู่ว่าถ้ากดยอมรับจะทำยังไง

By: Polwath
ContributoriPhoneWindows PhoneAndroid
on 8 October 2016 - 18:59 #945403 Reply to:945399
Polwath's picture

จริงๆ มันควรจะเลิกถามหรือขึ้น POP-UP ตั้งแต่ตอนกดไม่ยอมรับแล้วครับ และไม่ใช่เฉพาะ ATM และธนาคารกรุงเทพอย่างเดียว ธนาคารทุกเจ้าเป็นแบบนี้กันหมดเลย รวมถึงระบบ e-banking ด้วย

น่าเบื่อจริงๆ


Get ready to work from now on.

By: mr_tawan
ContributoriPhoneAndroidWindows
on 8 October 2016 - 15:13 #945355
mr_tawan's picture

Password ที่ต้องเปลี่ยนทุกเดือน


  • 9tawan.net บล็อกส่วนตัวฮับ
By: lew
FounderJusci's WriterMEconomicsAndroid
on 8 October 2016 - 18:44 #945398 Reply to:945355
lew's picture

ซึ่งจริงๆ ช่วงหลังแนวทางใหม่ๆ ก็ไม่แนะนำให้บังคับกันแล้วครับ (แต่มาตรฐานเก่าๆ ยังมีผลอยู่)


lewcpe.com, @public_lewcpe

By: mr_tawan
ContributoriPhoneAndroidWindows
on 10 October 2016 - 02:25 #945609 Reply to:945398
mr_tawan's picture

ผมเคยเสนอไปสองสามครั้งแล้วครับ และคำตอบที่ได้คือ "ไม่ได้อยู่ในฐานะที่เปลี่ยนแปลงอะไรได้" ซึ่งทำให้เซ็งมาก

ที่สำคัญคือนอกจาความถี่ในการเปลี่ยนพาสเวิร์ดแล้ว จำนวนพาสเวิร์ดที่ใช้ก็มีมากด้วย (มากกว่าสิบตัว)


  • 9tawan.net บล็อกส่วนตัวฮับ
By: lew
FounderJusci's WriterMEconomicsAndroid
on 10 October 2016 - 11:10 #945707 Reply to:945609
lew's picture

ไม่แปลกครับ พวกนี้กว่าจะเปลี่ยนกฎกันเป็นลำดับได้ต้องใช้เวลาอีกเป็นปี

อย่างพวก ISO 27000 หรือ PCI-DSS ก็ยังมีกฎพวกนี้กันอยู่ครับ ในหน่วยงานที่ต้องทำตามจะไปชี้ว่าคำแนะนำใหม่ๆ มันเปลี่ยนแล้วจะไม่ทำตามคงไม่ได้ ก็ต้องรอให้มันปรับกฎกันอีกระยะ

และจริงๆ แล้วคำแนะนำมันเปลี่ยน ก็ต้องดูรายละเอียดดีๆ ด้วยว่าเขาพูดยังไง อย่าง GCHQ ไม่แนะนำให้บังคับเปลี่ยนรหัส แต่ก็มีคำแนะนำเรื่องการแจ้งเตือนเมื่อล็อกอินเพิ่มเข้ามา อย่างพวกเซิร์ฟเวอร์จะไปถอดกฎการบังคับเปลี่ยนรหัสออก ก็ต้องตอบให้ได้ว่าจะมีกระบวนการแจ้งเตือนกันยังไง ถ้าแจ้งเตือนไม่ได้จะทำอย่างไร ฯลฯ ไม่ใช่อยู่ๆ จะไปเลิกทำได้ตามใจชอบ

แต่แนวโน้มโดยรวมๆ ผมเชื่อว่ามาตรฐานความปลอดภัยรุ่นต่อๆ ไปก็จะไปในแนวทางนี้ครับ ระดับคนทำงานที่ต้องทำตามมาตรฐานคงต้องภาวนาให้มาตรฐานมันปรับเร็วๆ


lewcpe.com, @public_lewcpe

By: illuminator
ContributorAndroidUbuntuWindows
on 8 October 2016 - 23:15 #945451 Reply to:945355
illuminator's picture

+1

เปลี่ยนกันทุกเดือน แต่รหัสที่เปลี่ยนนั้นคิดไม่ออก ได้แต่สลับตำแหน่งที่ไปมาทุกเดือน 555


The softest water wears down the hardest rock.

By: mr_tawan
ContributoriPhoneAndroidWindows
on 10 October 2016 - 02:24 #945608 Reply to:945451
mr_tawan's picture
  • Oct@2016
  • Nov@2016
  • Dec@2016

่วนไปวนไปครับ


  • 9tawan.net บล็อกส่วนตัวฮับ
By: bahamutkung
ContributorAndroidWindowsIn Love
on 8 October 2016 - 16:00 #945360
bahamutkung's picture

ย่อหน้าสุดท้ายนี่คนทำระบบคงคิดแล้วครับ แต่รัฐคิดตรงข้าม(แล้วคนทำระบบก็ต้องยอม)

ก็ยุคก่อการร้ายโดยรัฐนี่เนอะ /ยักไหล่


"With the first link, the chain is forged. The first speech censured, the first thought forbidden, the first freedom denied, chains us all irrevocably."

By: specimen
Windows PhoneAndroid
on 8 October 2016 - 20:11 #945413
specimen's picture

บริษัทผม ใช้ lotus note ต้องเข้าผ่าน vpn ผ่าน laptop
พนักงานที่เคยใช้ gmail อยู่ ไม่ยอมใช้ เพราะปัจจุบัน ติดต่อผ่านลูกค้า real time ผ่านมือถือ
ระบบใหม่ คุยกะลูกค้าได้เฉพาะตอนอยู่นิ่ง ๆ เปิดคอม ต่อไวไฟในโรงแรม
สุดท้าย ความปลอดภัย กลายเป็นไร้ประโยชน์ เพราะไม่มีใครยอมใช้

Lotus on mobile ก็มีแต่ไม่ให้ใช้ บนหน้าเว็บก็มี แต่เลวร้าย เคยได้ใช้มาก่อน สมัยที่ยังทำงานกะทีมเดิม
สุดท้าย ความปลอดภัยอันสูงส่ง ก็ไร้ประโยชน์

By: wichate
Android
on 10 October 2016 - 08:08 #945621 Reply to:945413

ความสะดวกมันเห็นผลเดี๋ยวนั้นเลย
แต่ความปลอดภัย ถ้ายังไม่เกิดเหตุก็ยังไม่เห็นประโยชน์ไงครับ
(ดังนั้นคนทั่วไปยังไงก็ต้องเลือกสะดวกก่อน)