acm-header
登录

ACM通信

BLOG@CACM

我们应该给出什么安全建议?


Geeky Ventures创始人格雷格·林登

人们应该遵循我们给他们的安全建议吗?

令人惊讶的答案是否定的。根据一项最近的一篇论文根据微软研究院的科马克·赫利的研究,人们不仅不遵循我们给他们的安全建议,而且他们也不应该这么做。

问题在于安全建议忽略了用户付出的代价。当发生损失的可能性很低,并且损失的时间或金钱成本很低时,那么保持警惕的成本肯定很低。我们要求别人做的很多事情都需要付出太多的努力。以论文为例,如果每年只有1%的人受到威胁,需要花费10个小时来清除,那么每天避免威胁所需的努力必须不超过1秒。

这是一个低得可怕的门槛。这意味着几乎所有终端用户的安全都不需要付出任何努力。

安全功能能做到这一点吗?

有些人确实是这样做的。例如,有些网站并没有对密码进行严格和强制性的限制(例如,长度在6-8个字符之间,必须包含数字和字母,必须每三周更换一次),而只是报告对密码强度的估计,而几乎接受任何密码。这几乎不需要付出任何努力,但仍然鼓励更长、更强、更容易记住的密码。这不仅对用户有意义,对公司也有意义,因为正如论文还指出的那样,在迫使人们轻易选择难以记住的密码后,使用更多代理辅助的密码重置的成本可能高于遭受更多攻击的成本。

一些浏览器实现的另一个例子是在浏览器中显示URL时提高域的可见性。这让你更容易看到你是否在正确的网站上,可能减少了人们认为值得的门槛以下的努力。

第三个例子是反网络钓鱼功能,现在在网络浏览器中很常见。该功能检查一个网站是否存在已知的安全威胁,并在有人访问已知威胁的罕见情况下进行干预。这对于几乎所有的网页浏览来说都是零成本的,因为该功能在幕后悄无声息地工作。

也许一开始的问题是错误的。也许我们不应该问人们是否应该听从我们给他们的安全建议,而应该问我们应该给出什么建议。我们给出的安全建议必须考虑用户付出的代价。我们给出的安全建议值得遵循。

那么,我们应该给出什么安全建议呢?


没有发现记录

登录为完全访问
»忘记密码? »创建ACM Web帐号
Baidu
map