February 19, 2015

Usable Security Week 4 - 6, Review

本文為 MOOC 學習筆記。

課程為 University of Maryland 在 Coursera 開的 Usable Security



Week 4

1. Authority Guidelines

  • 給予完成 task 所需的最小權限
  • 讓使用者“了解”哪些權限已經被給予,有什麼風險
  • 給予使用者取回(revoke)權限的權利


我們在使用別人的系統時,也盡量只給予對方最少可完成的資訊,最常見莫過於手機 App 要求過多權限。

  • Follow the principle of least privilege
  • Make the easiest way to complete a task the most secure 最常用要最簡單也最安全
  • MAke sure the user consents to the access they allow
  • Make it easy to reduce others’ access 當使用者想抽回權限時,要能抽回

2. Authorization and Communication Guidelines

  • Make sure that users know what authority they have granted and what that means for security decisions
  • Make sure users know what authority they hold
  • Create interfaces that make it clear what software the user is interacting with and providing information to. 如果 UI 設計不清楚的話,除 confusing 外,也容易被偽造。

3. Interface Guidelines for Usable Security


  • Make it easy for users to control access to their resources
  • Show a level of detail that’s informative and useful to the user, and no more than that
  • Make it easy to see the differences between objects and actions that could be confuesd
    例如字體造成 L 與 I 與 1 相近

- Case Study: Phishing Warnings

  • Automated security controls are good, but not the only solution
  • Giving users control can be more secure
  • Assist them in the process

Week 5

1. Usable Authentication and Passwords

A good login system should block for some time when login fails. This make a big differences for attackers. 在應付 brute force 攻擊時非常有用。

2. Two-Factor Authentication

Password + one time unique code

OTC can be generated by:

  • Device
  • Email
  • Text
  • App

Two-Factor Authentication 相對來說較安全,但不方便。

Case Study: Smudge Attacks

攻擊者觀察受害者裝置上的手指油脂來判斷其解鎖圖形,碩一時 lab meeting 的 paper 剛好報過這篇 Paper 。

Week 6

1. Usable Privacy Basics

在寫 Privacy Policies 時,應該避免 jargon 與太過 legal 的語言,應該要用大眾都可理解的語言撰寫。

可以用檢討 Usability 的那一套來檢討 Privacy,

  • Speed
  • Efficiency(Error prone)
  • Learnability
  • Memorability
  • User Prefernece

2. Privacy Policies and User Understanding



Informed Consent:確實告知使用者並取得其同意

4. Five Pitfalls of Privacy

用 gmail, amazon, facebook 當例子介紹五個常見的 privacy pitfalls。

Inferring Personal Data and Policy

放教授自己的 TED 演講影片:

The curly fry conundrum: Why social media “likes” say more than you might think


課程總覽 (Course Review)

課程看似 Security,但內容卻幾乎都在講 HCI。


- 優點 (Pros)

  • 每章的結尾附有”本章重點”,很實用,可以幫助複習。

- 缺點 (Cons)

  • 本課程的 Coursera 頁面編排得不好,版面混亂,與其課程內容(Usability)自相矛盾。
  • 部分課程影片 (Week 2 的三個教授座談那邊,以及史丹佛那段) 素質明顯低落。
  • 影片聲音大小不一,影片有時大聲有時小聲。
  • 部分影片有回音..。
  • Peer Assignment 的 Evaluation 階段只有評分的區塊,沒有給予 Feedback 的區塊,這有點誇張。
  • 某幾週的 Quiz 過於簡單。
  • 幾乎沒有發 announce 的,整個課程只有發過兩篇公告,第一個篇 hello message,第二篇是 Verified Certificate Policy,第三篇 Final Exam 延期。
  • Final Exam 延期只在討論區回文說 The exam opens on March 2。沒有發公告也沒有說 dead line 是何時,問題是課程 Syllabus 到 2/28 就結束了,到底是怎樣? (註:隔幾天後發公告了。)
  • Final Exam 有一些題目模稜兩可或是太過主觀,討論區哀號遍野。