セキュリティが重要であることを平均的な人々にどのように説得するには?
人々が人生で簡単にだまされる可能性がある場合( http://www.bbc.co.uk/realhustle/ )、その後、コンピューティングで...
では、通常のユーザーがセキュリティにもう少し注意を払うように説得するための最良のヒントは何ですか。彼が信頼していないリンクをクリックしない、WOT/NoScriptプラグインを使用する、など。
セキュリティ:定期的にバックアップを作成する場合でも
任意のヒントをいただければ幸いです。ありがとうございました!
率直に言って、それを達成する唯一の方法は他の選択肢を提供しないことです-または少なくともrightを他の方法よりはるかに簡単にすることです。あなたが提起するすべてのポイントは、情報セキュリティのいくつかの側面(ただし小さい)を正しく得るためにユーザーに負担をかけます。彼らは煉瓦職人、または物理学研究者、またはプロジェクトマネージャーです。私たちは彼らに煉瓦の敷設、物理学の研究、またはプロジェクトの管理を任せる必要があります。それらはそれらが得意なことです:私たちは彼らのためにセキュリティを行うべきです。
1つの例を挙げれば、「彼が信頼していないリンクをクリックしないでください」。たとえば、管理アシスタントは、リンクが信頼できるかどうかをどのように判断すればよいですか?ドメインのWHOISレコードを確認します(DNSが「信頼できる」チャネルを通じて解決されていることを確認しています)? SSL証明書の詳細を調べますか?ウェブマスターに電話して、キーフィンガープリントを確認しますか?ただ、なぜ彼は電話番号、電話ネットワーク、電話の向こう側の人を信頼しているのでしょう...どこにでもポイントできるハイパーリンクを人々に与え、それからそれらを伝えるのはばかげた立場ですハイパーリンクの使用について判断する。
だから私は怒りで忙しいかもしれませんが、私は代替案を提案するつもりですか?はい:下位互換性や既存のワークフローに精通していることをやめて、壊れたシステムの継続使用を正当化します。信頼できるリンクの例に対処するために、2つの問題があります。
- すべてのウェブサイトに現在SSL証明書である識別データがないため、すべてのウェブサイトを確実に識別することはできません。
- sSL証明書の所有者を信頼するように言っている人々を必ずしも信頼しません
ポイント1は、高額な場合でも簡単に対処できます。
ポイント2の方が難しい:技術的な観点から、複数の機関から複数の証明書を発行することを想像できますが、複数の証明書を調べて評価するためのUIが必要です。うん。あるいは、人々が信頼するサイトからの鍵に連署し、人々が信頼することを信頼する「信頼の網」モデルなどを想像できます。しかし、今は以前と同じ位置に戻っており、誰を信頼するかを知る必要があります(これは基本的に、Moxie Marlinspikeが Convergence で実装するようになったものです)。または、現在のWebフィルタリングツールのアプローチを採用することもできます。ベンダーを信頼して誰が良いかを伝えることはできませんが、一部のサイトが間違いなく悪いことを宣言するには十分に信頼できます。
この大まかな説明は、MicrosoftのSDLチームが呼び出したNEATセキュリティUI:インターフェイスは Necessary、Explained、Actionable and Tested である必要があります)と一致します。現在のUIと比較してください。信頼できるWebサイト:信頼がOKの場合、つまり必要がない場合に、インターフェイス(南京錠のアイコン)を取得します。これをクリックすると、通常SSL証明書の詳細が表示されますが、誰でも(そして誰でも)すべてのことを説明しましたSSL証明書のフィールドはユーザーにとって意味があるか?説明されていません。また、ほとんどのブラウザーは、明らかに壊れた証明書のあるサイトへのアクセスを停止するだけなので、多くの場合、UIもアクション可能ではありません。
重要なのは、UIがNEATの場合、より価値が高くなることです。つまり、ユーザーはthe(notwe)決定を下す必要があります。彼らの決定に関連する補足情報が伝えられます。彼らの決定は有意義な結果をもたらすでしょう。そして、私たちは彼らが良性と敵対的な条件の両方でどのように反応するか知っています。
私はグラハムにほとんど同意します。最近のセキュリティは、素人やプログラマー自身に任せるにはあまりにも重要です。運用のユーザー側に影響を与える可能性があるものも含め、標準への準拠を保証する専門チームを用意するのが最善です。
それらの行で:
- 可能であればHTTPSを使用するようにユーザーに指示するのではなく、プログラム自体が可能であればHTTPSを選択し、それを無効にすることは素人をやる気にさせるほど複雑である必要があります。 (HTTPSを強制するのではなく、ユーザーに「オプトイン」を提供している有名な組織を覚えています。:P)
- ほとんどのソフトウェアは自動更新を提供しています。とはいえ、一部の人々は、特にインターネットに接続するなど、自分の知識を超えた機能を実行する「うるさいソフトウェア」を好きではありません。そのようなシナリオでは、各リリース自体が比較的安全であることが最も重要になります。
- セッション管理も重要な側面であり、今日のデータマイニングや対象を絞った広告時間での使用は、セキュリティの目標と矛盾することがよくあります。多くのソーシャルネットワーキングサイトと同じように、サイトはセッションを維持し、ユーザーアクティビティを追跡し、パートナーのウェブサイトでデータを収集したい場合があります。ただし、セッションが長くなる/持続するほど、セキュリティリスクが高くなります。このような問題に取り組むために、ユーザーが特定の時間後にサイトにアクセスしたとき、他のいくつかの外部サイトでのアクティビティまたは新しいタブ/ウィンドウからのアクセス時に、パスワードのみを再度要求する良いアプローチがあります。
- 同様に、コンテンツフィルタリングも、コンテンツの開発者ではない場合でも、ホストがコンテンツをユーザーに提供することによって処理する必要があります。例:アンチスパムはメールプロバイダーに実装されている場合がありますが、ThunderbirdやOutlookなどのメールソフトウェア、ブラウザーでのリンク検出などにも実装する必要があります。
ほとんどのユーザーは、ソフトウェアを使用している間は想像力を働かず、一般的に単純なパターンに従います。これは、セキュリティの利点またはその欠点に使用できます。
私の経験は、Joeはセキュリティを大事にしていることです。この業界のすべてのメンバーが、コンピュータ業界以外の人からどのウイルス対策ソフトウェアが最適であるかを尋ねられたのではありませんか?私は、あなたとの共通の根拠を見つけるための見せかけの試みを超えて提起された質問、つまり、彼らがあなたの状況を改善するために何ができるかを聞きたいと思うことを明確に示す直接的な質問を提案します。
たぶん説得は必要ではありません。
おそらく、平均的なジョーがインターネットストリートの知識を習得するためのより簡単な方法が必要です。
多くの人は、感染しているのか、所有されているのか、愚かなことをしているのかを知らないことに起因するセキュリティ不安をすでに抱えています。つまり、インセンティブの力はすでに発揮されています。彼らはあなたがほのめかした危険の多さを知らないだけです。スターバックスでオープンWi-Fiを使用するのはすごいです*が、それはストリートナレッジです。
その通りを歩いたり、そのリンクをクリックしたりするのが悪い理由を知ることは効果的です-あなたはそれを経験するか、それについて学ぶ必要があります。そのような知恵を得るための近道はあるのでしょうか?
ほとんどの人は、それが何を意味するのかを知っていれば、何か正しいことを(つまり安全に)行うために少し余分な時間を費やして喜んでいると思います。
アレクシスコンラン(The Real Hustleの共同作家/俳優)は、RSAセキュリティ会議でいくつかの基調講演を行いました。私が正しく覚えている場合、彼のアドバイスは、所有することを避けるために、悪いことについての知識を深めることに集中していました。安全だと言うもう1つの言い方は愚かではないと思います。
(*http://www.immunitysec.com/products-silica.shtml はスターバックスのWi-Fi自動所有ツールです)
また、もう1つのアプローチを提案できますか(もちろん他の素晴らしいアイデアに対して補足的です)。
セキュリティを「刺激的な」ものにしてください!
他の企業の方針とは逆に、ITセキュリティにはこの大きな固有の利点があります。人々は、日常生活の中で、特に娯楽の気分を盛り上げる瞬間(フィクション、映画など)で、その基本的な概念(正しいか間違っているか、別の議論です...)を紹介されます。
質問で述べられた「本当のハッスル」はこの方向で素晴らしい仕事をしますが、それでもやるべきことがたくさんあります...
セキュリティの専門家が「企業のセキュリティ意識向上プログラム」以上のことをしているのを見ます。退屈な?何千ものオフィスメモの中のもう1つ?
ここに課題があります。興味深い要素を紹介し、壮大な失敗について話し、教育者の一部、伝道者の一部、フィクションライターの一部になります(「ゼロデー」を読んでください)。そして、毎日の練習で物事を改善するために使用できる簡単な方法を示します。彼らが違いを生むことができると感じさせ、スパイ映画のように暗号化を使用していることを彼らに誇示します。
グラハムの答えは、どのようなリスクがあるかをユーザーに教育する方法と、ユーザーが行う決定を理解するのに役立つ方法、または可能な場合はユーザーからの決定を取り除く方法となると、完全に正しいです。
関連する問題は、彼らに注意を払うように説得することです...ここでの最大の問題は、それが大多数の人々にとって本当に重要ではないことです。いずれかの方法でセキュリティへの影響に注意してください。無視されます。
私は特定のグループに集中して、物事をローカルで改善するのを助け、助けることができると思います。そして、これらのグループからの文化的規範の草の根フローの要素があることを願っています。
重要な考慮事項:
現在、ジョーパブリックはセキュリティを、インターネットや自宅のコンピューターでやりたいことを簡単にやめてしまうものだと考えています。
一般の人は全体として、難解なことを学ぶ必要はありません。特に、来年は別のことを学ぶ必要があるかもしれません。
多数のクレジットカード情報の盗難は実際には何の影響も及ぼさないことを一般の人々は「学び」ました。数字を見てください-個人が負の影響を受けない可能性は高いです。
では、セキュリティは平均的なホームユーザーにとってどのように役立つのでしょうか。簡単な答えは「できない」かもしれないので、ドライバーとしてFearを使用するという考えは嫌いですが、宣伝を使用できるはずです。教育に役立つ主要なエクスプロイトを中心に。
私が考えることができる唯一の例外は次のとおりです:
- 銀行は、セキュリティソフトウェアを正しく使用する個人に、より良いレートを提供する必要があります。シンプルでわかりやすいツールには、Trusteer's Rapportなどのものが含まれます。これは現在、多くのグローバルバンクで使用されていますが、ユーザーがそれをインストールする前向きなインセンティブ。それを財政的に魅力的なものにすれば、あなたはより良い取り込みを得るでしょう。
有用な例には、次のような襲撃が含まれます (無害の可能性がある)DDoS'erの家でのFBIの襲撃 -裁判と宣伝がどのように行われるかに応じて、あなたがそうしない場合、あなたが責任を負う可能性がある感染を防ぐためにあなたのマシンを固定してください。おそらくロングショットですが、ジーンシモンズは非常に訴訟を起こしているので、誰が知っていますか?
確かに学生は気にしませんが、会社はFBIに襲撃されている場合は気にしません。
だから、いくつかの考え:
fRBは企業を追うべきです。会社が組織を攻撃しているボットネットでマシンをホストしていることが示されている場合、会社には懲罰的な措置が課されているはずです-これは企業レベルで教育されます。
ISPはTOSをポリシングし、違反した個人に料金を請求する必要があります。これは個人レベルでの教育になる場合があります。
これは強力な敵である人間の性質を持っているため、難しい問題です。信頼することは人間の本質であり、日常の経験は信頼が機能することを示しています。問題なく数千のWebサイトにアクセスできます。その後、ある日、お気に入りのゲームコンソールのサーバーがハッキングされ、デジタルIDが危険にさらされます。オンラインには約10億人がいますが、Sonyのような攻撃でさえ、7000万人しかいませんでした。また、ソニー規模の攻撃はまれです。
ほとんどの企業はセキュリティをそれほど重視していませんが。近年のセキュリティ侵害を分析すると、コンピュータセキュリティに特化した企業でさえ、最終的にヒットしました。
したがって、ここには大きなギャップがあります。セキュリティは重要ですが、日常生活ではそれほど重要ではありません。安全でないWebサイトを何年もオンラインでヒットさせることなく、またはリンクをクリックして、誰も防止できなかったゼロデイエクスプロイトに感染させることができます。
したがって、セキュリティについて平均的な人を説得することは間違ったアプローチだと思います。実生活と同じように、セキュリティは問題ではありません。正気な人は北半球の家を出る前にフラックジャケットを着用しません(まあ、あなたは私のドリフトを手に入れます)。セキュリティは「機能するだけ」でなければならず、そうでなければセキュリティではありません。
コンピュータは十分にスマートで強力ではないため、機能しません。私のIDEは、150万行のJavaコードを4秒未満で生成するのに十分強力ですが、馬鹿げすぎて<input value="<%= dbField%>">または"select * from table where name = '" + userInput + "'" 危険です。
今日のプログラミング言語は、UIのCSSスタイルのようなキラー機能を提供していますが、これまでのところ、安全ではないコードの代わりに安全なコードを簡単に作成できるフレームワークを作成することに誰も気を配っていません。 Eclipse RCPアプリケーションの作成を開始すると、約100MBのJavaバイトコードがアプリケーションに追加され、このコードが持つセキュリティホールの数を世界中の誰も言うことはできません。
ファイアウォールがパケットを受け取った場合、ほとんどの場合、それが実際にどこから来たものであり、何が含まれているのかを知る方法はありません。送信者から確実にメールが届くようにするよりも、3ns未満で世界中にパケットをルーティングすることが重要です。
IMO、これらの問題が解決されない限り、セキュリティについてJohn Doeを教育することは無意味です。まず、専門家の教育を始めるべきです。その後、ジョン・ドーはもう気にする必要はありません。
[編集]一部のAndroidアプリがGoogleのClientLoginプロトコルのAuthTokenを暗号化せずに送信することを読んだところです 。つまり、Gmail、カレンダー、連絡先、Picasaのプライベート写真、blogger.comのブログなど、アカウントがあれば誰でもすべてのGoogle APIにアクセスできます。
では、グーグルがそれほど基本的な権利を取得していない場合、セキュリティが重要であるとジョンドーを説得する意味は何でしょうか。 :-(
タスクに gamification を適用することをお勧めします。ウィキペディアの記事にあるように、ブラックハットコミュニティはすでに攻撃を改善するためにゲームを使用しています。
1つのアプローチは、ゲームを使用してユーザーを教育し、そこにいる脅威や脆弱性をユーザーが認識できるようにすることです。多くの伝統的なゲームでは、プレイヤーに戦争の難解なセキュリティ原則を認識させることがよくあります。 Wi-Fiセキュリティの危険な世界、フィッシング攻撃、古くて脆弱なソフトウェアを使用する危険性、必要以上に大きな攻撃対象になる危険性などをナビゲートすることについて、どんなゲームがありますか?なぜこれ以上ないのですか?
別のアプローチは、一般的な実装者コミュニティ向けです。ゲーム関連の原則をセキュリティ関連ソフトウェアのソフトウェアユーザーインターフェイスに組み込みます。情報セキュリティの "ゲーミフィケーション":ソーシャルゲームデザインの概念を情報セキュリティに適用する| Skype教育
リスクについては共通の言葉を使う必要があります。ほとんどが直感的で、ナプキンで説明できます。私たちは人々を主題の専門家に変えることは決してないと思いますが、少なくとも、彼らがそれを認識したら、彼らに問題について批判的に考えさせるでしょう。
数年前の risk literacy に関する良い記事があります。
残念ながら、今日、人々はドアを閉めなければなりません。公開されたすべての場所には、今日、アラーム、ビデオ監視、その他のセキュリティシステムが装備されています。そのような意識は、長い間、そして遺失物や損害の価値を通じて人々にもたらされました。 IT業界でも同じです。
本当にセキュリティを気にしない通常の人々がいます-彼らは単にそれに興味がないだけでなく、彼らはデータと資金を気にします。誰もが鍵をかけてドアを閉めます。これらは基本です。ただし、セキュリティシステムを建物に設置する必要がある場合、通常は専門家に連絡します。セキュリティの透明性と容易さについて話している。平均的なユーザーは、安全な環境を確立してサポートするプロセスに脅かされるべきではありません。理想的には、そのような安全な環境が提供されたら、ユーザーはそれを壊さないように単純なルールに従うだけです。
それらのルールが何であるか、どのソフトウェアをインストールするか、そして一般に、このユートピアの安全な環境を引き続き機能させる方法などの質問に関して、私たちはしばしば、十分な答えを得られないまま、論争と論争に直面します。それは、コンピューターユーザーのニーズと目的、コンピューターが自分自身に果たす役割に依存します。それは、ホームユーザーが間違いなく銀行のオペレーターよりも気にかけているという意味ではありません。しかし、費用対効果、投資された時間とお金からのフィードバックがあります。とにかく、一般的なヒントは、いわゆるCIA(機密性、完全性、可用性)をサポートすることです。
123456などのバカなパスワードを使用したり、WIFI APを開いたままにしたりするとどうなるかを明確に説明し、例と参考資料を示します。
すなわち。彼らのコンピューターがリモートで児童ポルノをダウンロードするために使用されたので、何年も刑務所に入れられ、性犯罪者リストに加わっています。
そうでない場合は、恐喝、恐喝、個人情報の盗難、銀行口座の盗難、ソーシャルネットワーキングサイトでの友達の嘲笑、嫉妬の重役または他の敵が個人的な利益、報復、関係を破壊し、生命を危険にさらすなどのうそや噂を広めているなどです。リストは続きます。
脅威が働く可能性があります。ユーザーが作成するセキュリティ問題について、財政的および/または法的に責任を負うようにします。ドイツはそれをオープンWiFiホットスポットの所有者と一緒にしようとしています(少なくとも この記事 のふりをしていますが、これは法的な問題であるため、おそらく私の理解を超えた微妙な問題に悩まされています)。