Forside Sikkerhed Sikkerhedsekspert Bruce Schneier om adgangskoder, privatliv og tillid

Sikkerhedsekspert Bruce Schneier om adgangskoder, privatliv og tillid

  • William Charles
  • 0
  • 4559
  • 309
Reklame

I nutidens sammenkoblede verden kræver det kun en sikkerhedsfejl at få hele din verden til at gå ned. Hvem er bedre at henvende sig til for at få råd end sikkerhedsekspert Bruce Schneier?

Hvis du endda har en forbipasserende interesse i sikkerhedsspørgsmål Red Alert: 10 Computersikkerhedsblogs, du skal følge i dag Red Alert: 10 Computersikkerhedsblogs, du skal følge i dag Sikkerhed er en vigtig del af computeren, og du bør stræbe efter at uddanne dig selv og holde dig ajour . Du ønsker at tjekke disse ti sikkerhedsblogs og sikkerhedseksperterne, der skriver dem. , så er du helt sikkert kommet på tværs af skrifterne fra Bruce Schneier, en verdenskendt sikkerhedsguru, der har tjent i adskillige regeringsudvalg, vidnede før kongressen og er forfatter til 12 bøger om sikkerhedspørgsmål indtil videre, samt utallige essays og akademiske artikler.

Efter at have hørt om Schneiers nyeste bog, Fortsæt: lyd råd fra Schneier om sikkerhed, Vi besluttede, at det var på tide at nå ud til Bruce for at få nogle gode råd om nogle af vores egne presserende bekymringer om privatliv og sikkerhed.

Bruce Schneier - Lydrådgivning

I en global verden fyldt med international digital spionage, malware og virustrusler og anonyme hackere rundt om hvert hjørne - kan det være et meget skræmmende sted for enhver at navigere.

Vær ikke bange - for vi bad Bruce om at give os nogle vejledninger om nogle af de mest presserende sikkerhedsproblemer 5 ting, vi lærte om online-sikkerhed i 2013 5 ting, vi lærte om online-sikkerhed i 2013, trusler er blevet mere komplekse og, værre, er kommer nu fra steder, som de fleste aldrig ville forvente - som regeringen. Her er 5 hårde lektioner, vi lærte om online sikkerhed i 2013. i dag. Efter at have læst dette interview, vil du i det mindste gå væk med en større bevidsthed om, hvad truslerne virkelig er, og hvad du virkelig kan gøre for at beskytte dig selv.

Forståelse af sikkerhedsteatret

Muo: Hvordan kan jeg skelne som forbruger “sikkerhedsteater” fra en virkelig sikker app eller service? (Begrebet “sikkerhedsteater” blev valgt fra det udtryk, du har fundet ud i dine tidligere skrifter om, hvordan apps og tjenester kræver sikkerhed som et salgssted.)

Bruce: Det kan du ikke. I vores specialiserede og teknologiske samfund kan du ikke fortælle godt fra dårlige produkter og tjenester på mange områder. Du kan ikke fortælle et strukturelt sundt fly fra et usikkert fly. Du kan ikke fortælle en god ingeniør fra en charlatan. Du kan ikke fortælle et godt farmaceutisk produkt fra slangeolie. Det er dog okay. I vores samfund stoler vi på andre til at træffe disse beslutninger for os. Vi stoler på regeringens licens- og certificeringsprogrammer. Vi stoler på at gennemgå organisationer som Consumers Union. Vi stoler på vores venner og kollegers anbefalinger. Vi stoler på eksperter Bliv sikker online: Følg 10 computersikkerhedseksperter på Twitter Forbliv sikker online: Følg 10 computersikkerhedseksperter på Twitter Der er enkle trin, du kan tage for at beskytte dig selv online. Brug af en firewall og antivirussoftware, oprettelse af sikre adgangskoder og ikke efterlade dine enheder uden opsyn; dette er alle absolutte musts. Ud over det kommer det ned ... .

Sikkerhed er ikke anderledes. Da vi ikke kan fortælle en sikker app eller IT-service fra en usikker, er vi nødt til at stole på andre signaler. Naturligvis er it-sikkerhed så kompliceret og hurtigt bevægende, at disse signaler rutinemæssigt svigter os. Men det er teori. Vi beslutter, hvem vi har tillid til, og derefter accepterer vi konsekvenserne af denne tillid.

Tricket er at skabe gode mekanismer til tillid.

DIY-sikkerhedsrevisioner?

Muo: Hvad er en “koderevision” eller a “sikkerhedsrevision” og hvordan fungerer det? Crypto.cat var open source, hvilket fik nogle mennesker til at føle, at det var sikkert, men det viste sig, at ingen reviderede det. Hvordan finder jeg disse revisioner? Er der måder, jeg kan revidere min egen daglige brug af værktøjer til at sikre, at jeg bruger ting, der virkelig beskytter mig?

Bruce: En revision betyder, hvad du synes, det betyder: en anden kiggede på det og udtalte det godt. (Eller i det mindste fandt de dårlige dele og bad nogen om at ordne dem.)

De næste spørgsmål er også indlysende: hvem har revideret den, hvor omfattende var revisionen, og hvorfor skulle du stole på dem? Hvis du nogensinde har haft en boliginspektion, da du købte et hus, forstår du problemerne. I software er gode sikkerhedsrevisioner omfattende og dyre og i sidste ende ingen garanti for, at softwaren er sikker.

Revisioner kan kun finde problemer; de kan aldrig bevise fraværet af problemer. Du kan bestemt revidere dine egne softwareværktøjer, forudsat at du har den nødvendige viden og erfaring, adgang til softwarekoden og tiden. Det er ligesom at være din egen læge eller advokat. Men jeg kan ikke anbefale det.

Bare flyv under radaren?

Muo: Der er også denne idé, at hvis du bruger sådanne yderst sikre tjenester eller forholdsregler, handler du på en eller anden måde mistænksom. Hvis denne idé har fortjeneste, skal vi så fokusere mindre på mere sikre tjenester og i stedet prøve at flyve under radaren? Hvordan ville vi gøre det? Hvilken adfærd betragtes som mistænksom, dvs. hvad får du en mindretalsrapport? Hvad er den bedste taktik til “hold lav profil”?

Bruce: Problemet med forestillingen om at flyve under radaren, eller at ligge lavt, er, at det er baseret på pre-computer forestillinger om vanskeligheden ved at bemærke nogen. Da folk var dem, der så på, var det fornuftigt at ikke tiltrække deres opmærksomhed.

Men computere er forskellige. De er ikke begrænset af menneskelige forestillinger om opmærksomhed; de kan se alle på samme tid. Så selvom det kan være rigtigt, at brug af kryptering er noget, som NSA lægger særlig vægt på, men at ikke bruge det betyder ikke, at du bliver bemærket mindre. Det bedste forsvar er at bruge sikre tjenester, selvom det muligvis er et rødt flag. Tænk på det på denne måde: du giver dækning til dem, der har brug for kryptering for at holde sig i live.

Privatliv og kryptografi

Muo: Vint Cerf sagde, at privatlivets fred er en moderne anomali, og at vi ikke har en rimelig forventning til privatlivets fred i fremtiden. Er du enig i dette? Er privatliv en moderne illusion / anomali?

Bruce: Selvfølgelig ikke. Privatliv er et grundlæggende menneskeligt behov, og noget, der er meget ægte. Vi vil have et behov for privatliv i vores samfund, så længe de består af mennesker.

Muo: Vil du sige, at vi som samfund er blevet selvtilfredse med datakryptografi?

Bruce: Vi som designere og bygherrer af it-tjenester er bestemt blevet selvtilfredse med kryptografi og datasikkerhed generelt. Vi har bygget et internet, der er sårbart over for masseovervågning, ikke kun af NSA men af ​​enhver anden national efterretningsorganisation på planeten, store virksomheder og cyberkriminelle. Vi har gjort dette af forskellige årsager, lige fra “det er lettere på den måde” til “vi kan godt lide at få ting gratis på Internettet.” Men vi begynder at indse, at den pris, vi betaler, faktisk er temmelig høj, så forhåbentlig vil vi gøre en indsats for at ændre tingene.

Forbedring af din sikkerhed og privatliv

Muo: Hvilken form / kombination af adgangskoder / autorisation betragter du som den mest sikre? Hvad “bedste praksis” vil du anbefale til oprettelse af en alfanumerisk adgangskode?

Bruce: Jeg skrev om dette for nylig. Detaljerne er værd at læse.

Forfatterens note: Den tilknyttede artikel beskriver til sidst “Schneier-ordning” der fungerer til valg af sikre adgangskoder 7 måder at udgøre adgangskoder, der er både sikre og mindeværdige 7 måder at udgøre adgangskoder, der er begge sikre og mindeværdige At have en anden adgangskode til hver tjeneste er et must i dagens online verden, men der er en frygtelig svaghed til tilfældigt genererede adgangskoder: det er umuligt at huske dem alle. Men hvordan kan du muligvis huske…, faktisk citeret fra hans egen artikel i 2008 om emnet.

“Mit råd er at tage en sætning og omdanne den til en adgangskode. Noget i retning af 'Denne lille piggy gik på markedet' blev muligvis 'tlpWENT2m'. Denne adgangskode med ni tegn findes ikke i nogens ordbog. Brug selvfølgelig ikke denne, fordi jeg har skrevet om den. Vælg din egen sætning - noget personligt.”

Muo: Hvordan kan den gennemsnitlige bruger bedst håndtere / håndtere nyhederne om, at deres konto med et verdensberømt websted, en bank eller et multinationalt selskab er blevet kompromitteret (jeg taler om dataovertrædelser af Adobe / LinkedIn-typen her, snarere end en enkelt bank konto brudt gennem kortsvindel)? Skal de flytte deres forretning? Hvad tror du, det vil tage at understrege overfor IT / datasikkerhedsafdelinger, at øjeblikkelig, fuld afsløring er den bedste PR?

Bruce: Dette bringer os tilbage til det første spørgsmål. Der er ikke meget, vi som kunder kan gøre ved sikkerheden af ​​vores data, når de er i andre organisationers hænder. Vi er simpelthen nødt til at stole på, at de vil sikre vores data. Og når de ikke gør det - når der er et stort sikkerhedsbrud - er vores eneste mulige svar at flytte vores data et andet sted.

Men 1) vi ved ikke, hvem der er mere sikker, og 2) vi har ingen garanti for, at vores data slettes, når vi flytter. Den eneste reelle løsning her er regulering. Som så mange områder, hvor vi ikke har ekspertisen til at evaluere og er forpligtet til at stole på, forventer vi, at regeringen træder ind og leverer en troværdig proces, som vi kan stole på.

Inden for IT vil det kræve lovgivning for at sikre, at virksomheder sikrer vores data tilstrækkeligt og informerer os, når der er sikkerhedsbrud.

Konklusion

Det siger sig selv, at det var en ære at sidde ude og (næsten) diskutere disse spørgsmål med Bruce Schneier. Hvis du leder efter endnu mere indsigt fra Bruce, skal du under alle omstændigheder sørge for at tjekke hans seneste bog, Carry On, der lover, at Bruce tager vigtige sikkerhedsspørgsmål i dag som Boston Marathon-bombningen, NSA-overvågning og kinesiske cyberangreb. Du kan også få regelmæssige doser af Bruces indsigt på hans blog.

Som du kan fortælle fra svarene ovenfor, er det ikke lige så let at forblive sikker i en usikker verden, men ved hjælp af de rigtige værktøjer og omhyggeligt vælge, hvilke forretninger og tjenester du beslutter at “tillid”, og at bruge sund fornuft med dine adgangskoder er en meget god start.




Endnu ingen kommentarer

10 flere regnearkskabeloner til styring af dine penge
Produktivitet
Sådan holdes dine OneNote Notes hemmelige og sikre
Produktivitet
9 Produktivitetshacks, vi lærte af Google
Produktivitet
Om moderne teknologi, enkel og overkommelig.
Din guide i en verden af moderne teknologi. Lær hvordan du bruger de teknologier og gadgets, der omgiver os hver dag, og lær, hvordan du finder interessante ting på Internettet.