用户拒绝安全建议是正确的么？

 ZDNet安全频道原创翻译 转载请注明作者以及出处

你是否会经常更换密码?如果不这样做，会产生什么样的风险?我一点也不知道，只是在听了一会播客后，才开始重新思考我会怎样回答这些问题。

现在我明白为什么朋友坚持要我听229谈话系列关于当今安全的一集了。他想推荐微软主研究员科马克·赫利和他的报告《太长时间了，不用感谢外界：用户应该如何对安全建议进行合理取舍的》。

在今年9月，赫利博士在新安全示范工作室(NSPW)这一合适的场合中介绍了自己的成果。不知道你是否会同意他们的想法：

“NSPW的工作重点是计算机安全领域主要方法和观点带来的挑战。在过去，这样的挑战会带来对现行做法的批判，新颖的方式在有时间也会引起争议，而且往往会导致利用不成熟的办法维护计算机系统。

NSPW通过为重要而不是主流的安全研究提供合适环境，来促进信息安全模式的转变。”

赫利的报告引起了该组织的特别关注。不仅仅是因为它符合NSPW主流之外的原则。而且也迫使人们对涉及计算机安全时，什么是重要的进行反思。

激进思想

为了了解该文章的中心思想，这里引用了一段介绍：

“我们认为，从经济学的角度来看，用户拒绝接受安全方面的建议是完全合理的。提供的这些建议尽管可以免除在遭受攻击时产生的直接费用，但却导致各种间接费用带来更大的负担。从关于安全建议的不同例子中我们可以看出，这些建议是复杂且不断增长的，而它的好处主要是投机性或无实际意义的。”

上图(由科马克·赫利提供)显示出他认为的直接和间接费用。那么，按照赫利的说法，听取关于计算机安全的建议是不值得?让我们来深入了解一下。

谁的说法正确

对于用户拒绝使用安全措施，研究人员中间有着不同的想法。有些人认为，不论发生什么情况，用户都只能接受最低要求。其它人则相信因为用户觉得是一种负担，所以所有安全任务都会被拒绝。而还有第三种人认为教育用户不是他们的责任。

赫利也提供了不同的观点。他声称，用户拒绝安全建议完全是基于经济学的认识。他提供了如下的理由：

•用户明白，即使听取了建议也不能保证他们一定会免于遭受攻击。

•用户还明白，每项额外的安全措施都会导致成本的增加。

•用户认为攻击数量是很少的。而按照安全建议的要求采取措施，会造成持续的负担，因此，实际耗费的成本比攻击真正带来的损失还大。

进一步的说明

在阅读文章的时间，我发现赫利试图说服我停止象IT专业人士那样思考问题，而是开始象主流用户一样看待问题。这样，我就可以理解下面的内容了：

•建议的数量是压倒性的。没有办法及时获得。除此之外，建议内容是变化的。今天正确的，未来可能就变成错误的。我同意这一点，这条连接来自美国计算机安全应急响应中心，显示的仅仅是2010年3月1日一周内的安全公告。

•典型用户不是总可以从听取的安全建议中获得好处的。我再次同意这一点。向密码被键盘记录工具盗窃去的用户解释强密码的重要性，是没有意义的。

•从听取的安全意见中获得好处是随机的。我回顾了一下，没有找到有关数据量和用户遇到安全攻击的严重程度之间联系的数据。更不用说，从下面的量化数据中看出积极响应安全建议的效果。

成本与效益

我没有在成本效益折中和IT安全之间找到联系。我的儿子，一名精明的商人，只好向我解释说，成本和效益并不总是直接带来财政收益或损失。在了解到这一点后，我开始对整个事情有了初步的认识。史蒂夫·吉布森就在播客中描述了一个这样的成本分析。

吉布森只是问，你多长时间更改一次密码?我问过几名系统管理员他们的更换频率，大部分答案是一月一次。按照赫利的逻辑，这意味着攻击者可以有整整一个月的时间来使用密码。

所以说，让用户每个月都纠缠于新密码对于成本控制来说是否有好处?在回答这一问题之前，你可能还需要了解由于频繁变化的策略导致用户在执行中产生的坏习惯。

•一旦用户适应了一个密码，改变就需要时间。因此，用户选择把密码写下来。这就涉及到另外一场讨论了，关于这个问题，你可以问布鲁斯·施奈尔。

•用户知道系统中保存了多少密码并且是在这一范围中循环，这让他们可以选择继续使用同一密码。

这样经常更换密码究竟能获得什么样的好处?我发现的唯一一点是，如果攻击者没有在限制时间内使用就没有效果。你对此有何看法?每月更换密码，是好还是坏?

赫利博士针对包括密码规则、钓鱼攻击类网络地址和SSL证书错误在内的三个具体领域，进行了深入的成本效益分析。我想花些时间向大家介绍一下。

密码规则

密码规则带来的所有后果都需要用户承担。因此，他们需要了解不必遵守下列规则以减少带来的负担：

•长度

•组成(如数字、特殊字符)

•字典中不存在的字(在任何语言中)。

•不要把它写下来

•不要与他人共享

•经常更换

•不要跨站点重复使用密码

报告中解释了为什么这些规则不会带来真正的好处。举例来说，前三条规则并不重要，因为大部分应用程序和网站都拥有对多次连接尝试进行限制锁定的规则。至于“经常更换”密码，我刚刚已经谈到了为什么它不会提供帮助。

说一千道一万，用户知道严格遵循上述规则不会在安全方面获得什么好处。这使得他们很难为额外努力和附加费用作出解释。

钓鱼攻击类网络地址

向用户解释什么是网络地址伪装是一件困难的事情。此外，即便你把问题讲得尽量简单，大部分用户也还是听不懂。举例来说，下面的图片(科马克·赫利提供)就列出了一些冒充PayPa的网络地址：

为了给用户降低成本，赫利准备扭转这一局面。他解释说，用户需要知道什么时候该相信网络地址是好的，不会带来威胁：

“在培训用户了解网络地址中面临的主要困难是，他们应该知道什么事情是不好的，并且永远不能保证什么事情一定是好的。因此，这样的建议是不全面的，包含了大量例外。”

证书错误

在大多数情况下，人们了解SSL和HTTPS的意义，并愿意忍受额外的负担，以保证他们个人和财务信息的安全。证书错误则是另一回事。用户不理解它们的意义，大部分人都忽略掉它们。

当谈到下一个问题证书警告的时间，我感到非常内疚。我觉得自己获得了机会，结果发现没有什么其它可供选择?在读完报告后，我没有了问题。为什么，统计数字显示几乎所有的证书错误都是误报。

该报告还反映出忽略证书警告将导致出现问题的讽刺想法。通常情况下，坏人不会在钓鱼网站上使用SSL，但如果这样做的话，就会确保证书的有效性，不会让他们的阴谋引起特别的重视。赫利是这样陈述的：

“即使100%的证书错误都是误报也并不意味着我们可以取消证书。但这意味着证书错误是在保护用户不受到伤害是错误的，和事实不符。我们给他们带来的影响是真实的，但警告他们可能造成的损害却是理论上的。”

超越常规

现在你明白了吧。对你来说，它的思想是否非常激进呢?对我来说，答案是肯定的。赫利博士提供了以下的建议：

“我们不希望给人的印象是所有安全建议的效果都是适得其反的。事实上，我们相信得出的结论是令人鼓舞，而不是沮丧的。我们认为，成本效益折中对于大部分安全建议来说是完全不利的：为用户提供的好处太少耗费的成本太多。

更好的建议可能会产生不同的结果。这比其他假设，即用户是不合理的更好。这表明，安全建议需要符合成本效益折中才会让用户信服真正获得被采用的机会。但是，成本和效益必须是用户真正关心的方面，而不是那些我们认为用户应该关心的。”

赫利提供以下建议来帮助我们摆脱这个烂摊子：

•在制定恰当的安全建议之前，我们需要对受害率作出估计。如果没有作到这一点，我们最终做的就是对最坏情况的风险分析。

•用户培训的成本是所有人承担，而只有一小部分受害者获得好处，因此，对于任何安全建议的费用来说都需要看受害率。

•去掉不再有效果的老意见也是必要的。我们向用户提供的很多指南中都没有给出任何解决当前面临危害的方法。

•我们必须对建议划分优先次序。试图保护所有的事情就意味着到最后什么也保护不了。当我们提出长长的没有优先次序的建议列表就意味着已经放弃了所有可以增加影响力的机会，让用户自己照顾自己。

•我们必须尊重用户的时间和努力。将用户的时间当作26亿美元/小时与认为它的价值为零相比，是一个更好的起点。

最后的思考

读完赫利博士的报告后，我认识到总体而言，用户从来没有获得过安全。所有的建议、策略、指南以及不知名的IT安全部分只是在控制和降低风险。改变这种模式是否应该从获取真正的安全着手呢?