Säkerhetsexpert Bruce Schneier på lösenord, sekretess och förtroende
I dagens sammanlänkade värld, allt som krävs är ett säkerhetsfel för att få hela världen att krascha. Vem bättre att vända sig till för råd än säkerhetsexpert Bruce Schneier?
Om du ens har ett intressant intresse för säkerhetsfrågor Red Alert: 10 Datorsäkerhetsbloggar Du bör följa idag Red Alert: 10 Datorsäkerhetsbloggar du borde följa idag Säkerhet är en viktig del av beräkningen, och du bör sträva efter att utbilda dig själv och vara aktuell . Du vill kolla in de tio säkerhetsbloggarna och säkerhetsexperterna som skriver dem. Läs mer, då har du säkert stött på Bruce Schneiers skrifter, en världsberömd säkerhetsguru som har tjänstgjort på många regeringskommittéer, vittnade inför kongressen och är författare till 12 böcker om säkerhetsfrågor hittills, liksom otaliga uppsatser och akademiska uppsatser.
Efter att ha hört om Schneiers nyaste bok, Fortsätt: Ljudtips från Schneier om säkerhet, vi bestämde oss för att det var dags att nå ut till Bruce för att få lite bra råd om några av våra egna pressmeddelanden om integritet och säkerhet.
Bruce Schneier - Ljudrådgivning
I en global värld fylld med internationell digital spionage, malware och virushot, och anonyma hackare runt varje hörn - det kan vara en väldigt läskig plats för alla att navigera.
Håll dig inte rädd - för vi bad Bruce att ge oss lite vägledning om några av de mest pressande säkerhetsproblemen 5 Saker vi lärde oss om onlinesäkerhet 2013 5 Saker vi lärde oss om onlinesäkerhet 2013 Hoten har blivit mer komplexa och värre är nu kommer från platser som de flesta aldrig skulle förvänta sig - som regeringen. Här är 5 svåra lektioner vi lärde oss om online-säkerhet 2013. Läs mer idag. Efter att ha läst denna intervju går du åtminstone med en större medvetenhet om vad hoten verkligen är och vad du verkligen kan göra för att skydda dig själv.
Förstå säkerhetsteatern
Muo: Hur kan jag skilja som konsument? “säkerhetsteatern” från en verkligt säker app eller tjänst? (Termen “säkerhetsteatern” valdes utifrån den term du använde i dina tidigare skrifter om hur appar och tjänster kräver säkerhet som försäljningsplats.)
Bruce: Du kan inte. I vårt specialiserade och tekniska samhälle kan du inte berätta bra om dåliga produkter och tjänster inom många områden. Du kan inte berätta för ett strukturellt ljudflygplan från en osäker. Du kan inte berätta för en bra ingenjör från en charlatan. Du kan inte berätta för en bra farmaceutisk produkt från ormolja. Men det är okej. I vårt samhälle litar vi på andra att göra dessa bestämningar för oss. Vi litar på regeringens licens- och certifieringsprogram. Vi litar på att granska organisationer som Consumer Union. Vi litar på rekommendationer från våra vänner och kollegor. Vi litar på experter Håll dig säker på nätet: Följ 10 Datorsäkerhetsexperter på Twitter Håll dig säker på nätet: Följ 10 Datorsäkerhetsexperter på Twitter Det finns enkla steg du kan vidta för att skydda dig online. Använda en brandvägg och antivirusprogramvara, skapa säkra lösenord, lämna inte dina enheter obevakad. Dessa är alla absoluta måste. Utöver det kommer det ner ... Läs mer .
Säkerhet är inte annorlunda. Eftersom vi inte kan säkra en säker app eller IT-tjänst från en osäker, måste vi lita på andra signaler. IT-säkerhet är såklart så komplicerat och snabbt att de signalerar rutinmässigt misslyckas med oss. Men det är teori. Vi bestämmer vem vi litar på, och då accepterar vi konsekvenserna av det förtroendet.
Tricket är att skapa goda förtroendemekanismer.
DIY Security Audits?
Muo: Vad är en “kodrevision” eller a “säkerhetsrevision” och hur fungerar det? Crypto.cat var öppen källkod, vilket gjorde att vissa människor kände att det var säkert, men det visade sig att ingen granskade det. Hur kan jag hitta dessa revisioner? Finns det sätt att jag skulle kunna granska min egen dagliga användning av verktyg för att se till att jag använder saker som verkligen skyddar mig?
Bruce: En revision betyder vad du tycker det betyder: någon annan tittade på det och uttalade det bra. (Eller åtminstone hittade de dåliga delarna och berättade för någon att fixa dem.)
Nästa fråga är också uppenbart: vem granskade det, hur omfattande var revisionen, och varför skulle du lita på dem? Om du någonsin har haft en heminredning när du köpte ett hus förstår du problemen. I programvara är goda säkerhetsrevisioner omfattande och dyra och i slutändan ingen garanti för att programvaran är säker.
Revisioner kan bara hitta problem; de kan aldrig bevisa frånvaron av problem. Du kan definitivt granska dina egna programvaruverktyg, förutsatt att du har tillräcklig kunskap och erfarenhet, tillgång till programkoden och tiden. Det är som att vara din egen läkare eller advokat. Men jag rekommenderar inte det.
Bara flyga under radaren?
Muo: Det finns också den här tanken att om du använder sådana mycket säkra tjänster eller försiktighetsåtgärder, verkar du på något sätt misstänksamt. Om den tanken har meriter, borde vi fokusera mindre på säkrare tjänster, och istället försöka flyga under radarn? Hur skulle vi göra det? Vilken typ av beteende anses misstänkt, dvs vad får du en minoritetsrapport? Vad är den bästa taktiken till “ligga lågt”?
Bruce: Problemet med att flyga under radaren eller låg lågt är att det bygger på fördjupade begrepp på svårigheten att märka någon. När människor var de som tittade på det var det meningslöst att inte locka uppmärksamheten.
Men datorer är olika. De är inte begränsade av mänskliga uppfattningar om uppmärksamhet; de kan titta på alla samtidigt. Så även om det kan vara sant att använda kryptering är något som NSA noterar speciellt, det betyder inte att du kommer att märkas mindre. Det bästa försvaret är att använda säkra tjänster, även om det kan vara en röd flagga. Tänk på det på så sätt: du ger skydd för dem som behöver kryptering för att hålla sig vid liv.
Sekretess och kryptografi
Muo: Vint Cerf sa att integritet är en modern anomali, och att vi inte har en rimlig förväntan på privatlivet i framtiden. Håller du med om detta? Är integritet en modern illusion / anomali?
Bruce: Självklart inte. Sekretess är ett grundläggande mänskligt behov, och något som är väldigt verkligt. Vi kommer att ha ett behov av integritet i våra samhällen så länge de består av människor.
Muo: Skulle du säga att vi som samhälle har blivit självständiga angående datakryptografi?
Bruce: Visserligen har vi som designers och byggare av IT-tjänster blivit självberömda för kryptering och datasäkerhet i allmänhet. Vi har byggt ett Internet som är sårbart för massövervakning, inte bara av NSA utan av alla andra nationella efterlysningsorganisationer på planeten, stora företag och cyberkriminella. Vi har gjort det av olika skäl, allt från “det är lättare på det sättet” till “Vi gillar att få saker gratis på Internet.” Men vi börjar inse att det pris vi betalar faktiskt är ganska högt, så förhoppningsvis kommer vi att göra en ansträngning för att ändra saker.
Förbättra din säkerhet och integritet
Muo: Vilken form / kombination av lösenord / behörighet anser du vara mest säkra? Vad “bästa praxis” skulle du rekommendera att skapa ett alfanumeriskt lösenord?
Bruce: Jag skrev om detta nyligen. Detaljerna är värda att läsa.
Författarens anteckning: Den länkade artikeln beskriver så småningom “Schneier Scheme” som fungerar för att välja säkra lösenord 7 sätt att skapa lösenord som är både säkra och minnesvärda 7 sätt att göra upp lösenord som är både säkra och minnesvärda Att ha ett annat lösenord för varje tjänst är ett måste i dagens onlinevärld, men det finns en fruktansvärd svaghet till slumpmässigt genererade lösenord: det är omöjligt att komma ihåg dem alla. Men hur kan du komma ihåg ... Läs mer, citat från sin egen 2008 artikel om ämnet.
“Mitt råd är att ta en mening och göra den till ett lösenord. Något som "Denna lilla piggy gick på marknaden" kan bli "tlpWENT2m". Det nio tecken lösenordet kommer inte att finnas i någon ordlista. Naturligtvis, använd inte den här, för jag har skrivit om det. Välj din egen mening-något personligt.”
Muo: Hur kan den genomsnittliga användaren bäst hantera / hantera de nyheter som deras konto med en världsberömd webbplats, bank eller multinationellt företag har äventyrats (jag pratar om dataöverträdelser av Adobe / LinkedIn-typen här, snarare än en enda bank Konto bryts genom kortbedrägeri)? Ska de flytta sin verksamhet? Vad tycker du att det kommer att ta för att understryka IT / datasäkerhetsavdelningar att omedelbar, fullständig information är den bästa PR?
Bruce: Detta tar oss tillbaka till den första frågan. Det finns inte mycket vi som kunder kan göra om säkerheten för våra data när det ligger i andra organisationers händer. Vi måste helt enkelt lita på att de ska säkra våra data. Och när de inte - när det finns ett stort säkerhetsbrott - är vårt enda möjliga svar att flytta våra data någon annanstans.
Men 1) Vi vet inte vem som är säkrare, och 2) Vi har ingen garanti för att våra data kommer att raderas när vi flyttar. Den enda verkliga lösningen här är reglering. Liksom så många områden där vi inte har expertis att utvärdera och måste förtroende, förväntar vi oss att regeringen går in och ger en tillförlitlig process som vi kan lita på.
I IT kommer det att ta lagstiftning för att säkerställa att företagen säkrar våra uppgifter på ett adekvat sätt och informerar oss om säkerhetsbrott.
Slutsats
Det är självklart att det var en ära att sitta och (nästan) diskutera dessa frågor med Bruce Schneier. Om du letar efter ännu mer insikt från Bruce, se till att du kolla in hans senaste bok, Carry On, som lovar Bruces satser på viktiga säkerhetsproblem idag som Boston Marathon bombning, NSA övervakning och kinesiska cyberattacker. Du kan också få vanliga doser av Bruces insikt på hans blogg.
Som du kan berätta från svaren ovan är det inte bara lätt att vara säker i en osäker värld utan att använda rätt verktyg, noggrant välja vilka företag och tjänster du bestämmer dig för “förtroende”, och att använda sunt förnuft med dina lösenord är en mycket bra start.
Utforska mer om: Online-säkerhet, lösenord.