Nel nostro caso, era il fattore umano. Sei fortunato se il post-it con la password non va bene sulla console. In caso contrario, tutti hanno la stessa password che tutti conoscono.
Il personale si infastidisce per la necessità di un token, ma non può facilmente replicarlo, quindi sono troppo preoccupati per spiegare come hanno perso il loro per lasciarlo in giro. Aggiungi una password che deve essere cambiata e abbastanza presto finiscono le combinazioni così ovvie che possono essere indovinate in tre tentativi, e sincronizzare le loro password è più difficile che fare le cose bene.
Su gettoni contro tokenless, sono strongmente a favore di token. I token sono sporchi in una scatola dalla Cina, lavorano negli edifici con i jammer del telefono, non vengono lasciati altrove per paura di danni, non ci sono problemi di batteria, e finiscono memorizzati insieme a chiavi fisiche, che le persone riconoscono sempre come oggetti essere protetto. E c'è qualcosa da dire per l'interazione personale nel consegnare uno.
Non vedo come si possa separare il vero controllo di sicurezza dal fattore umano. La sicurezza consiste nel minimizzare le vulnerabilità dal fattore umano. Semplifica il rispetto delle regole piuttosto che aggirarle e puoi ottenere abbastanza sicurezza da non rendere il sistema completamente aperto.
Fonte: SCADA.