科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道安全管理从便利角度考虑安全建议才能提高有效性

从便利角度考虑安全建议才能提高有效性

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

只有方便性得到了有效提高,人们才能听取安全方面的建议。这是问题的关键。

作者:ZDNet安全频道 来源:ZDNet安全频道【原创】 2010年4月28日

关键字: 密码 安全策略 安全

  • 评论
  • 分享微博
  • 分享邮件

ZDNet安全频道原创翻译 转载请注明作者以及出处

只有方便性得到了有效提高,人们才能听取安全方面的建议。这是问题的关键。

----------------------------------------------------------------------------------------------------

 

迈克尔·卡斯勒曾经写过一篇题目为《用户是在拒绝安全建议吗?》的文章,这一话题引起了人们对应该如何保护自己,以及为什么这些建议没有得到重视的讨论。总之,问题最后归结到在用户最容易获得数据的基础上进行一次快速成本效益分析,即:自己的经验教训。

从安全的角度来看,要求用户采用越来越复杂步骤的建议会让在使用方面的问题越来越多,因此,他们自然会按照自己的想法来对建议进行分析,找出可能直接产生影响的,然后才会决定是否采用相关的意见。大多数用户看不到不安全导致的直接后果,毕竟只有偶尔失误的受害者才会遇到感染恶意软件需要进行清理的情况,因此,当他们看到关于安全学习的建议源源不断,接受这些建议会让日常生活也变得类似麻烦不断的情况也不是偶然的。

不幸的是,针对迈克尔提出问题的答案不是简单的“是”或“否”。事实上,无论是在什么时间——这都取决于你如何看待它:

1.答案是肯定的。从用户的角度来看,这是自然和正确的,不要把自己的时间浪费在没有结果的安全建议上。对于安全来说,迫切需要的是一种简化模式,不是让用户成为安全专家,用户必须通过忽略大部分建议来进行简化处理,只有这样才能在保证成本不增加的前提下,方便地进行工作。

2.答案是否定的。这里有很多好建议,可以作为带来良好安全习惯的综合模式的组成部分,可以在不显著降低计算机使用方便程度的前提下,帮助人们提高工作时间的安全性。

不幸的是,选择合适的建议并将它有效地融入日常生活,要求用户要么精通安全方面的原则深入了解作出选择的后果,要么是在很偶然的情况下选择信任的单一意见来源,为用户作出这样的决定。在前一种情况下,一名典型用户是无法进行选择的,在后一种情况下,信任和选择正确的建议来源就是关键了,我们必须在保证计算机使用的前提下帮助典型的最终用户进行有效选择实现更高的安全性。

很多了解安全复杂性原则的人都会对微软之类公司处理安全的模式进行讽刺,并慨叹最终用户趋向于毫无疑问完全信任这样的公司。这些公司采取的方式往往会让用户在本来可以避免的攻击损失更大。但从另一方面来看,在获取最终用户信任方面这些公司是成功的,因为安全对于他们来说通常是由专家来进行控制的:提供简化的办法来解决安全问题的复杂性。

最终用户愿意相信安全方面存在灵丹妙药。关于这一现象的证据遍布我们的四周。稍微深入的了解一下,你会发现和安全有利益关系的人也相信存在这样的灵丹妙药,但是对于普通的最终用户来说,要了解什么是简单方便的安全决定,其余的人就要对我们日常生活中面对的技术进行更深入的了解。因此,对于我们所有人来说,不幸的是,不存在这样的灵丹妙药。

但这不能阻止软件厂商试图提供所谓的灵丹妙药来对付安全怪兽的行为,无论是作为一个可赚取可观利润的产品,还是一个单独产品的组成部分这样也可以赚取可观利润的角度来看,答案都是确定的。对于微软之类的公司来说,采取的就是一种提供“灵丹妙药”的模式来确保安全,尽管这样会在向最终用户提供有效安全方面造成长期的固有缺陷,但它们确实了解很多安全专家都没有发现的安全因素:方便的重要性。

为了防止鼓励最终用户不进行思考随便选择一下作出轻率决定的模式,安全专家们需要提供一些可以让安全变得更方便的建议,而不是相反。写一篇简单的文章,介绍关于密码安全的十项关键因素,是一个好想法,可以算是准确的建议,但对于帮助普通计算机用户提高安全性来说,这几乎没有什么作用。因为普通人对利用变化的复杂密码来保护数据库不受到暴力破解的攻击没有兴趣,他们也不会记住包含了一百多种不同验证环境中每个不同密码的彩虹表。

在考虑为最终用户提供技术建议时,我们还必须要考虑到成本方面的便利。更重要的一点,我们必须考虑什么样的技术建议才能作为提高方便性建议的一部分。举例来说,我们可以告诉人们在每个网站中使用不同的密码,从安全角度来看,这是一条“好”建议,但从现实生活中来看,它就是一条“坏”建议,因为非常不切合实际。让人们在几十个特有的强密码和一个包含了不同内容的认证密码之间进行选择的话,后者才是真正可行的。

另一方面,《优秀密码管理工具应该具备的五项功能》一文中给出了很多宝贵意见,让你可以在密码的有效性和尽量高的方便性之间获得平衡,因为它并没有只是泛泛地建议使用特有的密码。相反,它提出了采用方便工具的理由就是,在不同的认证环境中需要使用特有的密码。

大多数时间,安全专家们都忘记提及他们知道的便利模式努力让安全建议变得切实可行。我们知道密码管理系统可以在同时提高方便性和安全性,但在看到网站密码数据库被破坏的时间,我们只是在想,“我不知道会有那么多人使用相同的密码。”我们应该考虑到的是,“我不知道为什么有这么多人没有使用有效的密码管理工具,应该怎样选择一个有效的密码管理工具。”

长话短说,对于如何实现系统的安全性来说,关键不在于简单提出的建议。相反的是,关键在于怎样选择方便的系统,以提供更高的安全性。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章