從便利角度考慮安全建議才能提高有效性
只有方便性得到了有效提高,人們才能聽取安全方面的建議。這是問題的關鍵。
邁克爾·卡斯勒曾經(jīng)寫過一篇題目為《用戶是在拒絕安全建議嗎?》的文章,這一話題引起了人們對應該如何保護自己,以及為什么這些建議沒有得到重視的討論。總之,問題最后歸結到在用戶最容易獲得數(shù)據(jù)的基礎上進行一次快速成本效益分析,即:自己的經(jīng)驗教訓。
從安全的角度來看,要求用戶采用越來越復雜步驟的建議會讓在使用方面的問題越來越多,因此,他們自然會按照自己的想法來對建議進行分析,找出可能直接產(chǎn)生影響的,然后才會決定是否采用相關的意見。大多數(shù)用戶看不到不安全導致的直接后果,畢竟只有偶爾失誤的受害者才會遇到感染惡意軟件需要進行清理的情況,因此,當他們看到關于安全學習的建議源源不斷,接受這些建議會讓日常生活也變得類似麻煩不斷的情況也不是偶然的。
不幸的是,針對邁克爾提出問題的答案不是簡單的“是”或“否”。事實上,無論是在什么時間——這都取決于你如何看待它:
1.答案是肯定的。從用戶的角度來看,這是自然和正確的,不要把自己的時間浪費在沒有結果的安全建議上。對于安全來說,迫切需要的是一種簡化模式,不是讓用戶成為安全專家,用戶必須通過忽略大部分建議來進行簡化處理,只有這樣才能在保證成本不增加的前提下,方便地進行工作。
2.答案是否定的。這里有很多好建議,可以作為帶來良好安全習慣的綜合模式的組成部分,可以在不顯著降低計算機使用方便程度的前提下,幫助人們提高工作時間的安全性。
不幸的是,選擇合適的建議并將它有效地融入日常生活,要求用戶要么精通安全方面的原則深入了解作出選擇的后果,要么是在很偶然的情況下選擇信任的單一意見來源,為用戶作出這樣的決定。在前一種情況下,一名典型用戶是無法進行選擇的,在后一種情況下,信任和選擇正確的建議來源就是關鍵了,我們必須在保證計算機使用的前提下幫助典型的最終用戶進行有效選擇實現(xiàn)更高的安全性。
很多了解安全復雜性原則的人都會對微軟之類公司處理安全的模式進行諷刺,并慨嘆最終用戶趨向于毫無疑問完全信任這樣的公司。這些公司采取的方式往往會讓用戶在本來可以避免的攻擊損失更大。但從另一方面來看,在獲取最終用戶信任方面這些公司是成功的,因為安全對于他們來說通常是由專家來進行控制的:提供簡化的辦法來解決安全問題的復雜性。#p#
最終用戶愿意相信安全方面存在靈丹妙藥
關于這一現(xiàn)象的證據(jù)遍布我們的四周。稍微深入的了解一下,你會發(fā)現(xiàn)和安全有利益關系的人也相信存在這樣的靈丹妙藥,但是對于普通的最終用戶來說,要了解什么是簡單方便的安全決定,其余的人就要對我們?nèi)粘I钪忻鎸Φ募夹g進行更深入的了解。因此,對于我們所有人來說,不幸的是,不存在這樣的靈丹妙藥。
但這不能阻止軟件廠商試圖提供所謂的靈丹妙藥來對付安全怪獸的行為,無論是作為一個可賺取可觀利潤的產(chǎn)品,還是一個單獨產(chǎn)品的組成部分這樣也可以賺取可觀利潤的角度來看,答案都是確定的。對于微軟之類的公司來說,采取的就是一種提供“靈丹妙藥”的模式來確保安全,盡管這樣會在向最終用戶提供有效安全方面造成長期的固有缺陷,但它們確實了解很多安全專家都沒有發(fā)現(xiàn)的安全因素:方便的重要性。
為了防止鼓勵最終用戶不進行思考隨便選擇一下作出輕率決定的模式,安全專家們需要提供一些可以讓安全變得更方便的建議,而不是相反。寫一篇簡單的文章,介紹關于密碼安全的十項關鍵因素,是一個好想法,可以算是準確的建議,但對于幫助普通計算機用戶提高安全性來說,這幾乎沒有什么作用。因為普通人對利用變化的復雜密碼來保護數(shù)據(jù)庫不受到暴力破解的攻擊沒有興趣,他們也不會記住包含了一百多種不同驗證環(huán)境中每個不同密碼的彩虹表。
在考慮為最終用戶提供技術建議時,我們還必須要考慮到成本方面的便利。更重要的一點,我們必須考慮什么樣的技術建議才能作為提高方便性建議的一部分。舉例來說,我們可以告訴人們在每個網(wǎng)站中使用不同的密碼,從安全角度來看,這是一條“好”建議,但從現(xiàn)實生活中來看,它就是一條“壞”建議,因為非常不切合實際。讓人們在幾十個特有的強密碼和一個包含了不同內(nèi)容的認證密碼之間進行選擇的話,后者才是真正可行的。
另一方面,《優(yōu)秀密碼管理工具應該具備的五項功能》一文中給出了很多寶貴意見,讓你可以在密碼的有效性和盡量高的方便性之間獲得平衡,因為它并沒有只是泛泛地建議使用特有的密碼。相反,它提出了采用方便工具的理由就是,在不同的認證環(huán)境中需要使用特有的密碼。
大多數(shù)時間,安全專家們都忘記提及他們知道的便利模式努力讓安全建議變得切實可行。我們知道密碼管理系統(tǒng)可以在同時提高方便性和安全性,但在看到網(wǎng)站密碼數(shù)據(jù)庫被破壞的時間,我們只是在想,“我不知道會有那么多人使用相同的密碼。”我們應該考慮到的是,“我不知道為什么有這么多人沒有使用有效的密碼管理工具,應該怎樣選擇一個有效的密碼管理工具。”
長話短說,對于如何實現(xiàn)系統(tǒng)的安全性來說,關鍵不在于簡單提出的建議。相反的是,關鍵在于怎樣選擇方便的系統(tǒng),以提供更高的安全性。
【編輯推薦】
