¿Una "medida de seguridad" que no proporciona un beneficio de seguridad es realmente dañina?

Cualquier característica que "no proporcione ningún beneficio [...] adicional" debe eliminarse, estar relacionada con la seguridad o de otra manera. Además de aumentar la complejidad y la fricción, puede introducir una superficie de ataque adicional y terminar por hacer que sea menos seguro.

Estoy de acuerdo con los comentarios anteriores, más un problema comercial relevante: las medidas de seguridad cuestan dinero (de la misma manera que las funciones del software cuestan dinero) y una empresa tiene un presupuesto finito para la seguridad, generalmente no es suficiente. Los dos inconvenientes de los controles ineficaces son que se está desperdiciando un poco de presupuesto y que la impresión que la junta tendrá de su equipo de seguridad es más pobre o menos efectiva de lo que debería ser.

No, es lo mismo con las características del software.

Si produce algo que no agrega valor, es un desperdicio. Cuando se trata de seguridad redundante, el desperdicio es aún mayor, ya que cada usuario desperdicia el segundo en un sistema de TI. Eso es suponiendo que la "característica" de seguridad adicional lleva tiempo del usuario.

Incluso si no afecta directamente a los usuarios, como el doble cifrado con chifers no agrega seguridad adicional (como Ceasar, por ejemplo), seguirá degradando el rendimiento.

generalmente como dijo Peter Stone, aumenta la superficie de ataque. Bueno, el punto es que no se usa, se olvidará y, por lo tanto, no se considerará para ningún parche en caso necesario. por lo tanto, el atacante puede concentrarse en esta característica de seguridad o funcional no parcheada para realizar el ataque, que puede ser, por ejemplo, un aumento de privilegios ...

Generalmente, cuando una página requiere que se ingrese la misma contraseña dos veces, es para detectar errores de escritura, que son más comunes con las contraseñas debido a la "entrada ciega". En particular con las páginas de registro, porque una contraseña ingresada incorrectamente implica un procedimiento de recuperación más adelante, procedimiento que necesariamente tiene un costo distinto de cero. Indicar que la doble entrada es por "razones de seguridad" es solo una forma de hacer que el usuario cumpla con las normas; los usuarios están acostumbrados a pasar por aros extraños siempre que sea una "cuestión de seguridad". Pero esto no es realmente acerca de la seguridad.

Más generalmente, hay un delicado equilibrio entre algunas características deseables:

1. El usuario aceptará cumplir con las características de seguridad.
2. El usuario obtendrá confianza en la seguridad del sistema.
3. El sistema debe ser seguro.
4. El usuario debe poder comportarse de una manera no obsesionada con la seguridad.

El punto 4 es importante si el usuario es un cliente potencial y queremos que finalmente ingrese su número de tarjeta de crédito y compre cosas. El punto 3, por supuesto, es importante si quiere evitar problemas. El punto 2 es sobre la "paz mental". El punto 1 significa que el usuario puede convertirse en el enemigo bastante rápido.

Estas características no son independientes entre sí. Por ejemplo, si desea un sistema seguro (punto 3) y, por lo tanto, requiere que los usuarios tengan contraseñas largas (por ejemplo, más de 12 caracteres), entonces los usuarios se rebelarán y comenzarán a seleccionar contraseñas largas pero débiles, o las escribirán en papel notas (fallo en el punto 1, lo que implica un fallo en el punto 3). Hablar demasiado sobre la seguridad puede hacer que algunos usuarios se obsesionen con eso. Crear confianza en el usuario también es parte (pero solo una parte) de hacer que el usuario no sea paranoico.

Se puede hacer una analogía con la seguridad del aeropuerto. La seguridad del sistema (punto 3) se logra a través de varias medidas ocultas, la mayoría de las cuales son el escaneo de rayos X del equipaje y una gran cantidad de inteligencia policial que trabaja con los viajeros. La confianza del usuario (punto 2) se construye a través de una pantalla de características de seguridad visible , como escáneres de cuerpo completo y hordas de guardias de apariencia maliciosa. Aquí, la confianza del usuario consiste en hacer que las personas sean conscientes de que el poder de los que están haciendo algo acerca de los problemas de seguridad que les preocupan; sin embargo, no es realmente necesario que las características de seguridad que los usuarios vea sean también características de seguridad que mejoren la seguridad. El cumplimiento de las normas (punto 1) se aplica a los carteles de miedo que le advierten a usted, como viajero de un avión, que "hacer declaraciones sobre seguridad" puede causarle grandes problemas, como perder su avión, pagar una gran multa o posiblemente ir a la cárcel. . Hasta cierto punto, los viajeros se vuelven no paranoicos (punto 4) exponiéndolos a los empleados del aeropuerto, que parecen obsesionados por la seguridad; el viajero reacciona instintivamente tomando la postura opuesta. Todo esto, por supuesto, es caro (un escáner de cuerpo completo no es la pieza de hardware más barata de la historia, y los guardias reciben salarios regularmente).

Por lo tanto, no hay ningún daño en tener una función de seguridad que no sirve para nada en lo que respecta a la seguridad real, siempre que proporcione alguna ganancia en algún lugar, por ejemplo. en la construcción de la confianza del usuario. Sin embargo , puede haber algún costo involucrado, y dado que los seres humanos no son máquinas, evaluar el costo puede resultar difícil.

Puede o no estar causando directamente una reducción en la seguridad de su sistema, necesita mirar su modelo de amenaza para decidir eso. Puede ser molesto para sus usuarios, y usted necesita investigar eso. Ciertamente le cuesta dinero desplegar y quizás mantener, y eso es definitivamente un recurso perdido.

Sin embargo, también puede ser que esta característica (errónea) introduzca otras vulnerabilidades al estar mal codificada o mal configurada. Probablemente debería eliminarlo.

Yo diría que es perjudicial. Proporcionar una manta de seguridad a un usuario final es completamente inútil. Por ejemplo, si tengo que ingresar mi contraseña dos veces para iniciar sesión en el mismo sitio, sospecharé por qué el sitio necesita mi información dos veces. Lo que me lleva a pensar que alguien le ha hecho algo al sitio en cuestión. En realidad, está disminuyendo la seguridad, ya que proporciona un vector de ataque adicional para una persona maliciosa.