Sikkerhetsekspert Bruce Schneier på passord, personvern og tillit
I dagens sammenkoblede verden er alt som trengs, en sikkerhetsfeil for å få hele verden til å krasje. Hvem bedre å henvende seg til råd enn sikkerhetsekspert Bruce Schneier?
Hvis du selv har en forbipasserende interesse i sikkerhetsspørsmål Red Alert: 10 Datasikkerhetsblogger du bør følge i dag Red Alert: 10 Datasikkerhetsblogger du bør følge i dag Sikkerhet er en viktig del av databehandling, og du bør streve for å utdanne deg selv og bli nåværende . Du vil sjekke ut disse ti sikkerhetsbloggene og sikkerhetsekspertene som skriver dem. Les mer, så har du sikkert kommet over Bruce Schneiers skrifter, en verdensberømt sikkerhetsguru som har tjent på mange regjeringskomiteer, vitnet før kongressen, og er forfatter av 12 bøker om sikkerhetsspørsmål så langt, så vel som utallige essays og akademiske artikler.
Etter å ha hørt om Schneiers nyeste bok, Fortsett: Lydråd fra Schneier om sikkerhet, Vi bestemte oss for at det var på tide å nå ut til Bruce for å få noen gode råd om noen av våre egne pressemeldinger om personvern og sikkerhet.
Bruce Schneier - Lydråd
I en global verden fylt med internasjonal digital spionasje, malware og virus trusler, og anonyme hackere rundt hvert hjørne - det kan være et veldig skummelt sted for alle å navigere.
Ikke frykt - for vi spurte Bruce om å gi oss veiledning om noen av de mest presserende sikkerhetsproblemene 5 ting vi lærte om nettbasert sikkerhet i 2013 5 ting vi lærte om nettbasert sikkerhet i 2013 Trusler har blitt mer komplekse og verre er nå kommer fra steder som de fleste aldri ville forvente - som regjeringen. Her er 5 harde leksjoner vi lærte om online sikkerhet i 2013. Les mer i dag. Etter å ha lest dette intervjuet, vil du i det minste gå bort med større bevissthet om hva truslene egentlig er, og hva du egentlig kan gjøre for å beskytte deg selv.
Forstå Security Theatre
MUO: Som forbruker, hvordan kan jeg skille “sikkerhetsteater” fra en virkelig sikker app eller tjeneste? (Begrepet “sikkerhetsteater” ble valgt fra begrepet du har laget i dine tidligere skrifter om hvordan apper og tjenester krever sikkerhet som salgsargument.)
Bruce: Du kan ikke. I vårt spesialiserte og teknologiske samfunn kan du ikke fortelle godt om dårlige produkter og tjenester på mange områder. Du kan ikke fortelle et strukturelt lydfly fra en usikker måte. Du kan ikke fortelle en god ingeniør fra en charlatan. Du kan ikke fortelle et godt farmasøytisk produkt fra slangeolje. Det er greit, skjønt. I vårt samfunn stoler vi på at andre skal gjøre disse bestemmelsene for oss. Vi stoler på lisensiering og sertifiseringsprogrammer fra myndighetene. Vi stoler på å vurdere organisasjoner som forbrukerunionen. Vi stoler på anbefalingene fra våre venner og kolleger. Vi stoler på eksperter. Stay Safe Online: Følg 10 Datasikkerhetseksperter på Twitter. Hold deg trygg online: Følg 10 datasikkerhetseksperter på Twitter. Det er enkle trinn du kan ta for å beskytte deg selv online. Bruke en brannmur og antivirusprogramvare, opprett sikre passord, ikke la enhetene dine være uten tilsyn disse er alle absolutte must. Utover det kommer det ned ... Les mer .
Sikkerhet er ikke annerledes. Fordi vi ikke kan fortelle en sikker app eller IT-tjeneste fra en usikker måte, må vi stole på andre signaler. Selvfølgelig er IT-sikkerhet så komplisert og rask at de signalene rutinemessig svikter oss. Men det er teori. Vi bestemmer hvem vi stoler på, og så aksepterer vi konsekvensene av tilliten.
Trikset er å skape gode tillitsmekanismer.
DIY Sikkerhetsrevisjoner?
MUO: Hva er en “kode revisjon” eller a “sikkerhetsrevisjon” og hvordan fungerer det? Crypto.cat var åpen kildekode, noe som fikk noen til å føle at det var sikkert, men det viste seg ingen revidert det. Hvordan finner jeg disse revisjonene? Er det måter jeg kunne revidere min egen daglige bruk av verktøy, for å sikre at jeg bruker ting som virkelig beskytter meg?
Bruce: En revisjon betyr hva du mener det betyr: noen andre så på det og uttalt det godt. (Eller i det minste fant de dårlige delene og fortalte noen å fikse dem.)
De neste spørsmålene er også åpenbare: hvem reviderte det, hvor omfattende var revisjonen, og hvorfor burde du stole på dem? Hvis du noen gang har hatt et hjem inspeksjon når du kjøpte et hus, forstår du problemene. I programvare er gode sikkerhetsrevisjoner omfattende og kostbare, og til slutt garanterer ingen at programvaren er sikker.
Revisjoner kan bare finne problemer; de kan aldri bevise mangel på problemer. Du kan definitivt revidere dine egne programvareverktøy, forutsatt at du har den nødvendige kunnskap og erfaring, tilgang til programvarekoden og tiden. Det er som å være din egen lege eller advokat. Men jeg anbefaler det ikke.
Bare fly under radaren?
MUO: Det er også denne ideen at hvis du bruker slike svært sikre tjenester eller forholdsregler, virker du på en eller annen måte mistenksom. Hvis den ideen har fortjeneste, bør vi fokusere mindre på sikrere tjenester, og i stedet prøve å fly under radaren? Hvordan ville vi gjøre det? Hva slags oppførsel anses å være mistenkelig, dvs. hva får du en minoritetsrapport? Hva er den beste taktikken til “ligg lavt”?
Bruce: Problemet med tanken om å fly under radaren, eller å ligge lavt, er at den er basert på pre-computer forestillinger om vanskeligheten ved å merke noen. Når folk var de som så på, var det fornuftig å ikke tiltrekke seg oppmerksomheten.
Men datamaskiner er forskjellige. De er ikke begrenset av menneskelige begrep av oppmerksomhet; de kan se alle på samme tid. Så selv om det kan være sant at bruk av kryptering er noe som NSA tar spesiell oppmerksomhet på, ikke å bruke det betyr ikke at du blir lagt merke til mindre. Det beste forsvaret er å bruke sikre tjenester, selv om det kan være et rødt flagg. Tenk på det på denne måten: Du gir dekning for de som trenger kryptering for å holde seg i live.
Personvern og kryptografi
MUO: Vint Cerf sa at personvern er en moderne anomali, og at vi ikke har en rimelig forventning om personvern i fremtiden. Er du enig i dette? Er personvernet en moderne illusjon / anomali?
Bruce: Selvfølgelig ikke. Personvern er et grunnleggende menneskelig behov, og noe som er veldig ekte. Vi vil ha behov for personvern i våre samfunn så lenge de består av mennesker.
MUO: Vil du si at vi som et samfunn har blitt selvtilfreds med datakryptografi?
Bruce: Sikkert vi som designere og byggere av IT-tjenester har blitt selvtilfreds med kryptering, og datasikkerhet generelt. Vi har bygget et Internett som er sårbart for massovervåkning, ikke bare av NSA, men av alle andre nasjonale etterretningsorganisasjoner på planeten, store selskaper og cyberkriminelle. Vi har gjort dette for en rekke grunner, alt fra “det er lettere på den måten” til “Vi liker å få ting gratis på Internett.” Men vi begynner å innse at prisen vi betaler er faktisk ganske høy, så forhåpentligvis vil vi gjøre en innsats for å forandre ting.
Forbedre sikkerheten og personvernet ditt
MUO: Hvilken form / kombinasjon av passord / autorisasjon anser du mest sikker? Hva “beste praksis” Vil du anbefale å opprette et alfanumerisk passord?
Bruce: Jeg skrev om dette nylig. Detaljerne er verdt å lese.
Forfatterens merknad: Den koblede artikkelen beskriver til slutt “Schneier-ordningen” som fungerer for å velge sikre passord. 7 måter å lage passord som er både sikre og minneverdige. 7 måter å lage passord som er både sikre og minneverdige Å ha et annet passord for hver tjeneste er et must i dagens onlineverden, men det er en forferdelig svakhet til tilfeldig genererte passord: det er umulig å huske dem alle. Men hvordan kan du muligens huske ... Les mer, sitert faktisk fra sin egen 2008 artikkel om emnet.
“Mitt råd er å ta en setning og slå den til et passord. Noe som "Denne lille piggyen gikk til markedet" kan bli 'tlpWENT2m'. Det passordet på 9 tegn vil ikke være i noen ordliste. Selvfølgelig, ikke bruk denne, fordi jeg har skrevet om det. Velg din egen setning - noe personlig.”
MUO: Hvordan kan den gjennomsnittlige brukerens beste avtale / takle nyheten om at deres konto med en verdensberømt nettside, bank eller multinasjonalt selskap har blitt kompromittert (jeg snakker om data brudd på Adobe / LinkedIn-typen her, i stedet for en enkelt bank konto brutt gjennom kort svindel)? Skal de flytte sin virksomhet? Hva tror du det vil ta å understreke til IT / datasikkerhet avdelinger at umiddelbar, full avsløring er den beste PR?
Bruce: Dette bringer oss tilbake til det første spørsmålet. Det er ikke mye vi som kunder kan gjøre med sikkerheten til våre data når det er i andre organisasjoners hender. Vi må bare stole på at de skal sikre dataene våre. Og når de ikke - når det er et stort sikkerhetsbrudd - er vårt eneste mulige svar å flytte dataene våre et annet sted.
Men 1) Vi vet ikke hvem som er sikrere, og 2) Vi har ingen garanti for at dataene våre blir slettet når vi flytter. Den eneste virkelige løsningen her er regulering. Som så mange områder der vi ikke har kompetansen til å evaluere, og vi må stole på, forventer vi regjeringen å gå inn og gi en pålitelig prosess som vi kan stole på.
I IT vil det ta lovgivning for å sikre at selskapene sikrer våre data tilstrekkelig og informerer oss når det foreligger sikkerhetsbrudd.
Konklusjon
Det sier seg selv at det var en ære å sitte ute og (nesten) diskutere disse problemene med Bruce Schneier. Hvis du leter etter enda mer innsikt fra Bruce, sørg for å sjekke ut hans siste bok, Carry On, som lover Bruces tar på viktige sikkerhetsproblemer i dag som Boston marathon bombing, NSA overvåking og kinesiske cyber-angrep. Du kan også få vanlige doser av Bruces innsikt på hans blogg.
Som du kan fortelle av svarene ovenfor, er det ikke helt enkelt å holde seg trygg i en usikker verden, men ved å bruke de riktige verktøyene, velger du nøye hvilke bedrifter og tjenester du bestemmer deg for “tillit”, og bruk av sunn fornuft med passordene dine er en veldig god start.
Utforsk mer om: Internett-sikkerhet, passord.