zharkevich.ru
Почему безопасность проигрывает удобству — и как она иногда всё-таки выигрывает

Почему безопасность проигрывает удобству — и как она иногда всё-таки выигрывает

· 13 мин чтения

Иногда это выглядит почти комично, хотя в моменте совершенно не до смеха.

Нужно срочно зайти в сервис. В голове уже крутится задача, письмо, созвон — «сейчас буквально на две минуты». Палец привычно тянется к логину, и тут начинается небольшой ритуал современности.

Пароль. Потом «код отправлен». Потом «почему СМС не пришла». Потом пришла — но окно уже не то, сессия протухла. Потом «подтвердите вход в приложении». Потом «введите резервный код». Потом «мы заметили подозрительную активность» — хотя подозрительное тут только одно: человек пытается работать.

Знакомо, да? И вот на этом месте рождается конфликт, который почему-то до сих пор многие делают вид, что не замечают.

Безопасность — это не криптография. Это UX.

Вернее, так: криптография живёт внизу, в фундаменте. Там всё может быть идеально — AES-256, эллиптические кривые, совершенная прямая секретность, весь этот прекрасный математический балет. Но реальный уровень защиты определяется не внизу. Он определяется наверху — там, где живёт и действует человек. И если наверху больно, если каждый вход превращается в допрос с пристрастием, то внизу хоть квантово-устойчивое шифрование ставь — всё равно проиграешь.

И всё это не потому, что люди плохие или глупые, а потому что они экономят внимание. И, честно говоря, имеют на это полное право.

Почему безопасность почти всегда проигрывает

У безопасности есть фундаментальная проблема, о которой редко говорят вслух: у неё плохая экономическая модель. Платит пользователь, выигрывает организация.

Подумайте об этом. Пользователь платит своим временем. Своим раздражением. Шансом случайно заблокировать себя в самый неподходящий момент и устроить себе маленький бытовой апокалипсис — когда нужно срочно отправить документ, а ты сидишь и ждёшь звонка от поддержки. А организация? Организация выигрывает снижением угонов аккаунтов, меньшими затратами на расследования и поддержку, меньшим шансом попасть в новости с заголовком «утекли данные миллионов пользователей».

Это классическая ситуация, когда издержки и выгоды распределены между разными сторонами. И угадайте, кто в такой ситуации обычно проигрывает.

Когда человеку постоянно навязывают «ещё одно решение по безопасности», мозг не учится быть внимательным. Мозг учится избавляться от боли. Это не лень и не глупость — это базовый механизм выживания. Если что-то причиняет дискомфорт и при этом не даёт немедленной награды, психика ищет способ это обойти.

Это явление давно описано в исследованиях и называется security fatigue — усталость от безопасности. Звучит почти как медицинский диагноз, и в каком-то смысле это он и есть. Когда пользователей перегружают требованиями, предупреждениями, подтверждениями и проверками, они не становятся более бдительными. Они устают. Теряют чувство контроля. И начинают действовать рискованнее — или вообще избегать решений, связанных с безопасностью.

NIST — это такая американская организация, которая занимается стандартами, в том числе в области кибербезопасности — прямо писал об этом в своих исследованиях. Когда люди вынуждены принимать больше решений по безопасности, чем способны «переварить», возникает усталость, сопровождаемая ощущением безнадёжности и потери контроля. Люди начинают чувствовать, что они не справляются, что система сильнее их, что проще махнуть рукой.

Похожую картину описывает статья в IEEE Computer. Там исследователи проводили интервью с обычными пользователями и слушали, что те говорят о своём опыте с системами безопасности. Участники упоминали усталость, фатализм, уход от решений. Это не «ошибки» в классическом понимании — это психологическая защита. Мозг просто отказывается тратить ресурсы на то, что воспринимается как бессмысленный ритуал.

И вот тут важный момент. Пока безопасность выглядит как экзамен на вход, люди будут списывать. Всегда. Это не вопрос образования или мотивации. Списывать будут даже лучшие люди. Даже те, кто сам пишет политики безопасности — потому что они тоже люди, и у них тоже есть дедлайны, усталость и желание просто уже наконец-то зайти в этот чёртов сервис.

Пароли: технология, которая живёт не потому что хороша

Давайте поговорим о паролях. Не с позиции «пароли — это плохо, все знают», а с позиции «почему они всё ещё с нами, если все знают, что они плохи».

Пароли — это не романтика и не традиция. Это инфраструктурная плесень. Они появились в шестидесятых годах, когда компьютеры были размером с комнату, а пользователей на всю машину было человек десять. С тех пор мир изменился до неузнаваемости, а пароли остались.

Почему? Потому что они дёшевы. Дёшевы в разработке, дёшевы в развёртывании, совместимы буквально со всем на свете. Любой сервис может прикрутить форму логина за полдня. Не нужно никакого специального оборудования, никаких интеграций, никаких договоров с провайдерами. Просто поле для ввода и база данных.

Это не мнение — это отдельная научная тема. Есть классическая работа под названием «The Quest to Replace Passwords», где авторы разбирают буквально два десятка лет попыток заменить пароли чем-то лучшим. Биометрия, токены, одноразовые коды, графические пароли, поведенческая аутентификация — чего только не пробовали. И знаете что? Ни одна альтернатива так и не смогла вытеснить пароли полностью.

Почему? Потому что у каждой альтернативы есть свои проблемы. Одни неудобны для пользователя. Другие сложны в развёртывании — попробуй заставить миллиард человек купить специальные устройства. Третьи имеют свои уязвимости, просто другие. И очень редко какое-то решение оказывается хорошим сразу по всем параметрам.

А пароли — они как тараканы. Не идеальны, но выживают.

И вот тут возникает интересный психологический эффект. Если базовый слой системы неудобен, то любые надстройки безопасности начинают восприниматься как издевательство. У тебя и так уже есть пароль, который ты еле запомнил. А тут тебе говорят: теперь ещё код из СМС. И ещё приложение-аутентификатор. И ещё резервные коды на случай, если потеряешь телефон. И каждый раз, когда ты заходишь с нового устройства, будь добр пройти весь этот квест заново.

Каждый новый слой защиты не снимает основную боль — он добавляет новую.

Многофакторная аутентификация: работает, но не магия

Тут надо сделать важную оговорку. Многофакторная аутентификация — MFA, или в простонародье «двухфакторка» — это один из немногих инструментов, который реально сдвинул планку безопасности. Не потому что «так принято» или «так требует регулятор», а потому что она действительно ломает целый класс атак.

Большинство массовых взломов аккаунтов происходит не потому, что хакеры — гении. Они происходят потому, что люди используют одинаковые пароли на разных сервисах, а эти сервисы периодически взламывают. Утекает база паролей с какого-нибудь форума, и дальше злоумышленники просто пробуют эти пароли на всех популярных сервисах. Gmail, VK, банк — авось где-то подойдёт.

И вот тут двухфакторка реально помогает. Даже если твой пароль утёк, без второго фактора — кода из приложения, СМС, физического ключа — войти не получится. Google проводил большое исследование совместно с учёными из NYU и UCSD, и там был важный вывод: добавление дополнительных механизмов подтверждения входа существенно снижает риск угона аккаунта на типовых сценариях атак.

Но — и это важное «но» — у этой медали есть оборотная сторона. Любой дополнительный шаг входа — это трение. А трение имеет свойство копиться.

Один сервис с двухфакторкой — нормально. Два — терпимо. Пять — уже начинает раздражать. А когда у тебя двадцать сервисов, и каждый требует свой ритуал, и у каждого свои правила, и где-то СМС, где-то приложение, а где-то вообще звонок на телефон — в какой-то момент ты начинаешь жить в очень странной реальности.

Безопасность формально выросла. На бумаге всё отлично. А субъективно вход в систему стал похож на госуслугу из антиутопии. Каждый раз, когда ты хочешь просто проверить почту, тебе нужно доказать, что ты — это ты. И чем больше таких «антиутопий на входе», тем сильнее подсознательное желание это как-то обойти.

И люди обходят. Не со зла, не по глупости — просто потому что жить иначе невозможно.

Самый предсказуемый эффект перегруза — снижение качества поведения. Пароли начинают повторяться — потому что запомнить тридцать уникальных невозможно. Коды сохраняются «на всякий случай» в заметках на телефоне — потому что вдруг не придёт СМС. Резервные коды теряются — потому что ну когда последний раз ты их использовал, три года назад? Уведомления о подозрительной активности закрываются не читая — потому что они приходят каждый раз, когда ты заходишь из кафе или с работы.

Это не потому что люди «не понимают важности безопасности». Это потому что система требует от них быть роботами, а они люди.

Меры безопасности, которые делают только хуже

Есть отдельная категория мер безопасности, которые заслуживают особого внимания. Они выглядят красиво в отчётах, их любят показывать аудиторам, про них можно написать в политике безопасности. Но реальную безопасность они не повышают — а иногда даже снижают. Потому что обучают людей обходить систему.

Первый классический пример — принудительная смена пароля каждые тридцать или девяносто дней. Идея, наверное, была в том, что если пароль утечёт, то через месяц он уже будет неактуален. Звучит логично, правда?

На практике это работает совершенно иначе. Человек не может каждый месяц придумывать и запоминать новый сложный пароль. Поэтому он делает то, что делают все: берёт базовый паттерн и немного его модифицирует. «Март2026!», «Апрель2026!», «Май2026!». Или «Password1», «Password2», «Password3». Система формально требует «новый пароль», система формально его получает. А реальная энтропия — то есть непредсказуемость для злоумышленника — падает. Потому что если ты знаешь, что у человека в марте был пароль «Март2026!», угадать апрельский не составит труда.

Кстати, даже NIST — те самые ребята, которые десятилетиями продвигали политики обязательной смены паролей — в какой-то момент сказали: «Стоп, мы были неправы». В их современных рекомендациях принудительная ротация паролей без причины больше не рекомендуется. Только если есть подозрение на компрометацию.

Второй пример — бесконечные предупреждения. Вы наверняка их видели. «Вы уверены, что хотите открыть этот файл?». «Этот сайт может быть небезопасен». «Вы уверены, что хотите покинуть страницу?». «Внимание: это действие нельзя отменить».

Сначала человек читает эти предупреждения. Думает: «О, система заботится о моей безопасности, как мило». Потом замечает, что предупреждения появляются буквально везде. Открываешь обычный PDF — предупреждение. Переходишь на сайт, который посещаешь каждый день — предупреждение. Хочешь сохранить файл — предупреждение.

И мозг учится. Только учится он не тому, чему хотели научить разработчики. Мозг учится, что предупреждения — это шум. Что их можно игнорировать. Что «жми ОК, чтобы работать» — это просто ещё один обязательный клик на пути к цели.

А потом, когда появляется действительно важное предупреждение — «этот файл содержит вредоносный код» — человек точно так же автоматически жмёт ОК. Потому что рефлекс уже сформирован.

И причиной тот самый «мальчик, который кричал “волки”», только в цифровую эпоху.

Третий пример — капчи и «проверки на подозрительность», которые выскакивают не там, где есть реальная атака, а там, где есть обычный пользователь. Ты просто заходишь на сайт. Может быть, у тебя VPN включён. Может быть, ты в роуминге. Может быть, просто луна не в той фазе. И вот тебе: «Выберите все картинки с велосипедами». Потом «выберите все картинки с автобусами». Потом «выберите все картинки со светофорами». Потом «вы робот, попробуйте ещё раз».

Это не защита. Это генератор раздражения. А раздражение — это удобрение для обходов. Раздражённый человек — это человек, который будет искать способы избежать этой боли. Установит расширение, обходящее капчи. Сохранит пароль в браузере, хотя не должен. Будет логиниться с одного устройства, даже если это небезопасно — просто потому что там его «помнят».

Где безопасность выигрывает

После всего этого мрака давайте поговорим о хорошем. Потому что бывает и хорошее.

Хорошая безопасность обычно не «просит» человека быть молодцом. Не требует усилий, внимания, правильных решений. Она делает безопасное поведение простым по умолчанию. Не нужно ничего выбирать — правильный выбор уже сделан за тебя. Не нужно помнить сложные правила — система сама их соблюдает.

Именно поэтому сейчас столько шума вокруг технологии passkeys. Это одна из первых серьёзных попыток за долгое время сделать вход в систему одновременно и безопаснее, и удобнее. Не «добавим ещё один код поверх пароля», а «уберём пароль как слабое звено целиком».

Как это работает? Если упрощённо: вместо пароля, который ты помнишь (или не помнишь), используется криптографический ключ, который хранится на твоём устройстве. Когда ты заходишь на сайт, устройство автоматически подтверждает, что это ты — через биометрию, PIN-код или просто наличие устройства. Тебе не нужно ничего вводить, ничего запоминать, ничего копировать из СМС.

FIDO Alliance — организация, которая стоит за этим стандартом — активно продвигает passkeys и собирает данные о внедрении. В октябре 2025 года они запустили так называемый Passkey Index — агрегированный отчёт о том, как крупные сервисы внедряют passkeys и какие результаты получают. Amazon, Google, Microsoft, PayPal, TikTok и другие гиганты уже поддерживают эту технологию, и данные показывают: люди реально переходят на passkeys, когда им дают такую возможность.

И это важная смена тона в индустрии. Раньше «новая аутентификация» часто выглядела как религия или маркетинг. Очередной стартап обещал убить пароли, собирал инвестиции и через пару лет тихо закрывался. Или большая компания анонсировала «революцию в безопасности», а на практике это оказывалось ещё одним слоем сложности поверх существующего хаоса.

А тут пытаются показать реальные данные. Вот внедрили, вот сколько людей используют, вот как это влияет на угоны аккаунтов, вот как это влияет на метрики бизнеса. Не обещания, а результаты.

Да, это ещё не «конец паролей». Passkeys не решают всех проблем и сами имеют свои детские болезни. Главная из них — переносимость. Если ты настроил passkey на айфоне, а потом решил перейти на Android — что делать? Если passkey хранится в iCloud Keychain, как перенести его в менеджер паролей от другого вендора?

Эта проблема сейчас активно обсуждается, и FIDO работает над стандартами переноса. Медиа — те же The Verge и Wired — регулярно пишут об этом как об одном из главных барьеров на пути к «passwordless навсегда». Люди боятся привязки к экосистеме. И этот страх понятен: никому не хочется оказаться в ситуации, когда ты не можешь войти в свои аккаунты, потому что сменил телефон.

Но сам факт, что эти проблемы обсуждаются и решаются — уже прогресс. Впервые за долгое время есть технология, которая не добавляет трения, а убирает его. Не требует от пользователя быть внимательнее, а позволяет расслабиться.

Аналогия, которая многое объясняет

Есть хорошая аналогия, которая помогает понять, почему безопасность так часто проигрывает.

Представьте город, который построен так, что пешеходу нужно быть героем, чтобы перейти дорогу. Нет светофоров. Нет переходов. Машины несутся в шесть рядов, и если тебе нужно на другую сторону улицы — беги, уворачивайся, надейся на лучшее. А если тебя собьют — ну, сам виноват, надо было быть внимательнее.

Кто виноват в такой ситуации? Пешеход, который недостаточно быстро бегает? Или всё-таки город, который переложил всю ответственность за безопасность на самое слабое звено в системе?

С цифровой безопасностью часто происходит то же самое. Система построена так, что человек должен постоянно быть внимательным. Всегда делать правильный выбор. Никогда не уставать. Никогда не ошибаться. Никогда не торопиться. Помнить все пароли, не нажимать на подозрительные ссылки, читать все предупреждения, проверять адреса сайтов, использовать уникальные пароли для каждого сервиса, регулярно их менять, не записывать их на бумажке, но и не забывать…

Это не «строгая безопасность». Это модель, рассчитанная на нереальную личность. На какого-то идеального пользователя, который никогда не существовал и никогда не будет существовать.

Хорошая безопасность — это не инструкция «будь внимательнее», а архитектура среды. Меньше решений, которые должен принимать человек. Меньше «подтвердите, что вы не верблюд». Меньше предупреждений «на всякий случай», которые всё равно никто не читает. Больше разумных настроек по умолчанию, которые работают правильно без вмешательства. Больше продуманных механизмов восстановления доступа — потому что люди будут терять пароли, телефоны и память, и это нормально. Больше прозрачной логики: если система что-то просит, она должна объяснить почему, и это «почему» должно иметь смысл.

Да, такой подход дороже в разработке. Нужно думать не только о том, как защитить систему, но и о том, как сделать эту защиту незаметной для пользователя. Нужно проектировать сценарии восстановления, а не надеяться, что никто не заблокирует свой аккаунт. Нужно тестировать на реальных людях, а не только на идеальных пользователях из документации.

Но зато это наконец-то работает.

Что из этого следует

Шифрование и стандарты важны. Криптография — это фундамент, без которого ничего не построишь. Но над фундаментом живёт человек. С усталостью, спешкой, раздражением, ограниченной памятью и очень человеческой привычкой: если система делает больно, она будет обходиться.

Самый практичный рецепт из всего сказанного звучит скучно, но работает: безопасное должно быть самым простым путём. Не «правильным» путём, который требует усилий. Не «рекомендуемым» путём, про который написано в документации. А именно самым простым — тем, который человек выберет естественно, не задумываясь.

И второе: восстановление доступа должно быть частью дизайна с самого начала. Не «потом прикрутим, когда будут жалобы». Не «напишем в FAQ, как сбросить пароль». А полноценный, продуманный сценарий: что делать, если человек потерял телефон, забыл пароль, уехал в другую страну, сменил все устройства. Потому что это произойдёт. Не «если», а «когда».

Когда безопасность перестаёт спорить с удобством и становится частью удобства — вот тогда она начинает выигрывать. Не раньше.

Источники

Предыдущий пост Следующий пост
Наверх