在当今互连的世界中,只需要做一个安全性错误,即可使整个世界崩溃。谁比安全专家布鲁斯·施耐尔(Bruce Schneier)更好地寻求建议?
如果您对安全问题甚至有过时的兴趣,那么您肯定会碰到世界知名的安全专家布鲁斯·施耐尔(Bruce Schneier)的著作。他曾在多个政府委员会任职,并在国会作证。到目前为止,他是12本有关安全问题的书的作者,以及无数的论文和学术论文。
在听到Schneier的最新著作《 >继续:Schneier关于安全的合理建议,我们认为现在是时候联系Bruce,以获取一些有关我们自己迫切的隐私和安全问题的合理建议。
Bruce Schneier –明智的建议
在一个充满国际数字间谍,恶意软件和病毒威胁以及无处不在的匿名黑客的全球化世界中,对于任何人来说,这都是一个非常恐怖的地方。
不要害怕-因为我们请布鲁斯为我们提供一些有关som的指导当今最紧迫的安全问题。阅读完本访谈后,您至少会更进一步地了解威胁的真正含义以及如何真正保护自己。
Bruce:你不能在我们的专业技术社会中,您无法在很多领域从劣质产品和服务中分辨出好。您不能从不安全的飞机上分辨出结构合理的飞机。你不能告诉一个骗子的好工程师。你不能说蛇毒是好的药品。没关系,但是。在我们的社会中,我们信任他人为我们做出这些决定。我们信任政府的许可和认证计划。我们信任像消费者联盟这样的审查组织。我们相信朋友和同事的建议。我们信任专家。
安全性没有什么不同。由于我们无法从不安全的应用程序或IT服务中分辨出安全信息,因此我们不得不依靠其他信号。当然,IT安全是如此复杂且瞬息万变,以至于这些信号经常使我们无法正常工作。但这是理论。我们决定信任谁,然后我们接受这种信任的后果。
诀窍是建立良好的信任机制。
Bruce:审核意味着您所认为的含义:其他人对其进行了审核,并表示其良好。 (或者,至少找到了坏的部分,然后告诉某人进行修复。)
接下来的问题也很明显:谁进行了审核,审核的范围有多广,为什么您应该信任它们?如果您在买房时曾经接受过房屋检查,那么您就会明白问题所在。在软件中,良好的安全性审核是全面且昂贵的,并且最终不能保证软件的安全性。
审计只能发现问题;审计只能发现问题。他们永远无法证明没有问题。假设您具有必要的知识和经验,对软件代码的访问权限和时间,则可以肯定地审核自己的软件工具。就像当您自己的医生或律师一样。但我不建议这样做。
MUO:还有一个想法是,如果您使用如此高度安全的服务或预防措施,您就会以某种方式行事。如果这个想法有价值,我们是否应该将注意力集中在更安全的服务上,而试着躲在雷达下?我们将如何做?什么样的行为被认为是可疑的,即什么使您获得少数派报告? “放低"的最佳策略是什么?
Bruce:在雷达下飞行或低空飞行的概念存在的问题是它基于预计算机难以注意到某人的想法。当人们是在看电视时,不引起人们的注意是有道理的。
但是计算机是不同的。它们不受人类关注概念的限制;他们可以同时观看所有人。因此,虽然NSA特别注意使用加密是正确的,但不使用它并不意味着您会少受注意。最好的防御是使用安全服务,即使它可能是一个危险信号。这样想:您为需要加密才能存活的人提供掩护。
MUO: Vint Cerf说隐私是一种现代异常,我们不这样做对未来的隐私没有合理的期望。你同意吗?隐私是一种现代幻觉/异常吗?
Bruce:当然不是。隐私是人类的基本需求,这是非常现实的事情。只要我们的社会由人组成,我们就需要隐私。
MUO:您能说我们作为一个社会已经对数据感到沾沾自喜了吗?
Bruce:当然,作为IT服务的设计者和构建者,我们对加密和总体上的数据安全性已经沾沾自喜了。我们建立了一个互联网,该互联网不仅受到国家安全局(NSA)的威胁,而且还受到地球上所有其他国家情报机构,大型公司和网络犯罪分子的攻击。我们这样做的原因有很多,从“这种方式更容易"到“我们喜欢在Internet上免费获取东西"。但是我们开始意识到,我们付出的代价实际上是很高的,因此希望我们会努力进行更改。
MUO::您认为哪种形式/密码组合/授权最安全?您将建议使用什么“最佳做法"来创建字母数字密码?
Bruce:我最近写过这方面的文章。详细信息值得阅读。
作者注意:链接的文章最终描述了用于选择安全密码的“ Schneier方案",实际上是他2008年在该主题上引用的内容
“我的建议是句子,然后将其变成密码。像“这只小猪进入市场"之类的东西可能会变成“ tlpWENT2m"。该9个字符的密码不会出现在任何人的字典中。当然,不要用它了,因为我已经写过了。
MUO::普通用户如何最好地处理/应对其在举世闻名的网站,银行或跨国公司账户的新闻公司已经受到威胁(我在这里谈论的是Adobe / LinkedIn类型的数据泄露,而不是通过卡欺诈而破坏单个银行账户)?他们应该搬家吗?您认为向IT /数据安全部门强调立即全面披露是最佳PR是什么?
Bruce :我们回到第一个问题。当数据在其他组织手中时,作为客户,我们所能做的事情不多。我们只需要相信他们将保护我们的数据即可。而当他们没有这样做时(当发生重大安全漏洞时),我们唯一可能的应对措施就是将数据移到其他地方。
但是1)我们不知道谁更安全,2)我们无法保证在移动时会删除我们的数据。唯一真正的解决方案是监管。像许多我们没有评估专业知识并需要信任的领域一样,我们希望政府介入并提供值得信赖的值得信赖的流程。
在IT领域,它将会通过立法来确保公司充分保护我们的数据,并在出现安全漏洞时通知我们。
结论
毫无疑问,我们很荣幸能够脱颖而出,(实际上) )与Bruce Schneier讨论这些问题。如果您想从布鲁斯那里获得更多的见识,请务必阅读他的最新著作《随身携带》,该书保证布鲁斯今天将处理诸如波士顿马拉松爆炸,美国国家安全局监视和中国网络攻击等重要的安全问题。您还可以在他的博客上定期获得Bruce的见识。
从以上答案可以看出,在不安全的世界中保持安全并非易事,但要使用正确的工具并谨慎选择您决定要“信任"的企业和服务,并且在密码中使用常识是一个很好的开始。
