Interacción humano-computadora: ¿Cuáles son los indicadores o características de un dispositivo que te hacen sentir que tu privacidad está segura?

Para preocuparme por mi privacidad, necesito saber de antemano que el dispositivo va a “interactuar” con mi información privada (por ejemplo, cargar mi historial de marcado en algún servidor web, recopilar mi información de geolocalización mientras voy a trabajar, etc.) . Solo puedo saber eso de: a) el vendedor / fabricante del dispositivo; b) alguien que lo ha usado.

En el caso b, el dispositivo está muerto. Dejaré de usarlo porque siento que el vendedor / fabricante está engañando.

En el caso a, un factor crítico que me hace sentir seguro es el control . Necesito saber cómo desactivar esas funciones. Puede ser un interruptor físico en el dispositivo o una configuración en el software. Tiene que darme la sensación de que poseo mis datos. Siempre que quiero, puedo borrar mis datos en el lado del servidor.

Entonces, como fabricante / vendedor de dispositivos, haga lo siguiente:
1) Indique claramente a sus usuarios de antemano que su dispositivo recopilará datos privados;
2) Indique claramente cómo los usuarios pueden activar / desactivar esta función; y no lo hagas demasiado complicado;
3) Ofrezca a los usuarios una forma de eliminar verdaderamente su cuenta y sus datos en el lado del servidor.

PD: es realmente molesto que los servicios web en estos días no permitan a los usuarios eliminar realmente su cuenta.

Veo dos enfoques comunes de seguridad que son más o menos el equivalente a una palmada en la cabeza y un “no te preocupes por tu pequeño yo, lo tenemos cubierto”. Una de ellas es el servicio indirecto a algunas palabras de moda, como el uso de SSL, junto con la visualización de insignias. Genial, tienes un certificado de alguna CA; ¿Qué estás haciendo con eso? La otra es la implementación sin sentido de inconvenientes, bajo el supuesto de que, si es difícil de usar, debe ser segura.

Si quieres hacerme sentir seguro en tu sitio, haz lo siguiente:

– Demuestre que la seguridad se diseñó desde el principio, y no es simplemente una ocurrencia tardía o una declaración de relaciones públicas. Por ejemplo, si bien SSL no es la totalidad de la seguridad web, un sitio que no admite SSL en absoluto me muestra que la seguridad no es una preocupación principal.

– Demuestra que sabes de lo que estás hablando. Dame enlaces que expliquen tu seguridad. Puede que no los lea, o simplemente los lea, pero incluso su presencia me dice que usted pensó en las cosas más que la mayoría de los sitios. Si tiene opciones, como la autenticación de dos factores, explíqueme exactamente por qué valen la pena el esfuerzo adicional.

– Demuéstrame que estás siguiendo las mejores prácticas. No son una garantía, pero al menos me muestran que no eres un vago al respecto y que estás haciendo cosas tontas como almacenar contraseñas en texto plano en el servidor web.

– Una de mis manías: no implemente un sistema de inicio de sesión complejo que se deshaga con preguntas de recuperación de contraseña ridículamente simplistas, o un sistema de atención al cliente que sea trivialmente susceptible a la ingeniería social.

Parece una pregunta muy interesante dados los recientes y continuos enfrentamientos de piratas informáticos y los incidentes de robo de identidad a gran escala que escuchamos cada pocas semanas.

Yo diría que hoy en día, para que algo se sienta realmente seguro, las medidas o capas de seguridad deben ir más allá del espacio natural de esos dispositivos. Con esto quiero decir que un sitio web debe tener tanto medidas y notificaciones de seguridad basadas en la web como medidas de seguridad habilitadas para dispositivos complementarios.

Mirándolo estrictamente desde una perspectiva de servicio / sitio web, esperaría lo siguiente:

CAPAS BASADAS EN LA WEB

• una indicación clara de que está utilizando https para todas las transacciones, ya sea que requiera el intercambio de información o no
• Una indicación clara de lo que el sitio está rastreando en términos de cookies y otro almacenamiento local (consulte la experiencia para todas las cosas D)
• Recomiendo claramente que esta sesión se ejecute utilizando la configuración de sesión privada de su navegador favorito
• un número limitado de asientos, es decir, solo puede acceder a este servicio de 3 a 5 dispositivos que tienen que estar autorizados (piense en iTunes)
• sin conexiones simultáneas desde dos ips diferentes o incluso ID de hardware.
• un manejo bastante estricto en la sesión (es decir, ninguna actividad durante 5 minutos lo desconecta)
• Capcha
• una página dedicada a ver quién ha visto su cuenta, o quién ha iniciado sesión en su cuenta y desde qué IP / dispositivo

CAPAS DE COMPAÑERO

• Una de esas claves digitales cuyo código de acceso cambia cada x cantidad de minutos
• un servicio complementario muy parecido a las tarjetas de crédito que rastrean sus hábitos de inicio de sesión / servicio y se comunican con usted cuando ocurre algo de nuestro patrón

Dependiendo del servicio y el valor de la información que se está viendo, puedo ver a una compañía desarrollando su propio conjunto de aplicaciones que viven en una computadora pero que son independientes del navegador (ala itunes o spotify)

Creo que lo único que me haría sentir realmente seguro es si el proveedor de servicios publicara un gran vínculo que tendrían que perder (idealmente, para mí) si filtran mi información privada, o algún esquema similar.

Martillo externo, gran calibre y agarre de seguridad.