25 nov 2009

ignore the security warning

Ieri Bruce Schneier citava una ricerca interessante: "It is often suggested that users are hopelessly lazy and unmotivated on security questions. They chose weak passwords, ignore security warnings, and are oblivious to certicates errors. We argue that users' rejection of the security advice they receive is entirely rational from an economic perspective."

Insomma, perdiamo quantita' enormi di tempo a leggere sedicenti avvertimenti per la nostra sicurezza che nella stragrande maggioranza dei casi sono del tutto inutili.

Mi fa venire in mente i controlli all'aeroporto. Se la vediamo da una prospettiva costi/beneficio, sono sicuro che le ridicole procedure di "sicurezza" a cui milioni di persone ogni anno devono sottoporsi in aeroporto causano piu' danni economici (in termini di tempo perso, gente incazzata, materiale inoffensivo gettato via, voli persi, ecc.) dei possibili attacchi terroristici che dovrebbero scongiurare.
Poi, uno puo' dire che non stiamo parlando solo di soldi, ma soprattutto di vite umane: OK, vero. Pero' 1) se i governi avessero a cuore le vite umane, non bisognerebbe fare lo stesso tipo di controlli prima di prendere un treno o un bus? o prima di entrare a teatro, al cinema, allo stadio, a messa? e 2) quanti terroristi sono stati catturati grazie ai demenziali metal detector, ai controlli sui liquidi o al fatto che mi devo togliere le scarpe, estrarre il laptop, eccetera eccetera? Se ne avete catturato almeno uno, anche uno solo, mi basta. passo sotto il metal detector per il resto della vita. Pero' all'aeroporto, dopo i controlli, voglio vedere un cartello con scritto "Quest'anno, grazie a questi controlli, abbiamo catturato __ terroristi."

Nessun commento: