大多数人说他们关心自己的网络安全和隐私。民意调查后轮询确认一下人们的预期:他们不希望自己的身份被盗、手机被黑、信用卡被盗或银行账户被掏空。他们不欢迎政府或任何人对他们进行监视,尤其是在他们的私人生活中。
但是,这些民意调查也显示,这些同样的人的惊人很小的比例似乎并不愿意作出多少努力,做他们说什么,他们想要的 - 保护自己的隐私和安全。
一个更近的,一中调查由Morar咨询公司为VPN提供商做的2000个用户隐藏了我的屁股!调查发现,67%的受访者表示,他们希望有更多的隐私保护层,但只有16%的人使用增强隐私的浏览器插件;13%的人使用双重认证;11%的人使用VPN, 9%的人使用电子邮件加密;4%的人使用匿名软件,如洋葱路由器。
为什么?这不仅是人是懒惰或不称职的,按照心理学研究。这是我们更硬连线的方式。约瑟夫·洛伦佐厅,在该中心的民主与技术(CDT)首席技术专家指出,关于它的研究可以追溯到一个多世纪。
事实上,在1883年,荷兰密码学家奥古斯特·克霍夫写要想让军事密码系统正常工作,它必须“……易于使用,既不需要精神压力,也不需要掌握一系列的规则……”
把这一点应用到现代网络世界中,几乎可以肯定的是,对于不同网站和设备使用复杂密码来维护安全的规劝将被大多数人忽视。
As Brett McDowell, executive director of the FIDO Alliance, put it, “unfortunately for those of us in information security, users have ‘voted with their habits,’ and the vast majority have told us loud and clear that user experience (UX) trumps privacy and security.”
布雷特·麦克道尔,常务理事,FIDO联盟
这不仅仅是UX是在播放后。更最近,在2008年,研究员瑞恩西写一个多世纪以来的研究表明,大多数人认为自己比别人更不容易受到风险的影响——开车技术比别人好,不太可能受到消费品的伤害,而且他们的寿命会超过平均预期寿命。
“按理说,任何计算机用户预设的信念,他们比其他人的计算机漏洞的风险更小,”他写道。
西添加有证据表明,当人们这样做增加其安全性的措施,如安装个人防火墙,他们倾向于从事更危险的行为 - 一些被称为“风险平衡”,或风险练级。
也就是说,西写的,是因为方便的回报是立竿见影的,摸得着,而那些对安全性是抽象的,无形的,即使潜在的不便,如果用户被黑客攻击成本大得多。
霍尔在CDT的同事、隐私与数据主管卡特琳娜•科普(Katharina Kopp)认为,这不仅仅是一个延迟的或抽象的满足的问题。她认为,这是因为安全工作既耗时又复杂。
她说:“我无法想象在现代的很多领域,我们会对消费者提出如此高的要求。”“例如,在汽车或医药市场,我们完全理解,我们并不指望个别消费者成为专家,并建立所有的保障措施。”
卡塔琳娜·柯普,导演,隐私和数据中心的民主与技术
霍尔部分同意。他说,虽然消费者不需要建立自己的安全工具,但这些工具对普通消费者来说可能很难使用。
“很少人上网像我这样做,”他说,“在Firefox中,用无脚本(不需要JavaScript),RequestPolicy(所有第三方负载必须手动白名单),HTTPSEverywhere等。
“我能很好地控制自己的桌面浏览体验,但这需要很多修饰和技术方面的理解,而且看起来就像我在1996年的时候在网上冲浪,黑文本加白背景,很少有图片。”
McDowell offered another example: “Many sites offer two-factor authentication as an option, but these options, such as one-time passwords from a physical security token or SMS sent to a specific mobile device in the user’s possession, are a hassle for users,” he said.
“消费者不想输入多个密码才能进入一个账户,所以很多人要么从不选择加入,要么很快就选择退出。”
和Markus Jakobsson着,安全研究人员,CTO和创始人ZapFraud的说,另一个问题是,“因果之间的联系是非常模糊的大多数人。什么是安全的呢?什么是不安全的?”
他说,当用户不断听到与自己无关的重大入侵事件时,他们往往会变得听天由命。“当问题超出他们的控制范围时,人们往往会举手,说,‘为什么要麻烦呢?’”他说。
马库斯Jakobsson,安全研究人员,CTO和创始人,ZapFraud
科普说,网络安全非常困难,政府应该像对待许多消费品一样,为产品供应商设定一些“基本要求”,“不仅是为了保护个人福祉,也是为了保护整个社会。”
尽管并非所有人都同意政府是制定标准的最佳实体,但多少有些好消息是,该行业正在采取措施简化消费者安全——尽管要达到临界质量还有一段路要走。
根据霍尔的说法,一些工具,如iMessage,“是非常有用的,而其他工具,如PGP(相当好的隐私——一种加密工具),是非常非常难以使用的。”
“现在访问”的政策顾问Drew Mitnick说:“提供端到端加密的私人通讯应用到处都是。他说,那些和其他保护用户隐私和安全的应用程序的市场不断增长,“表明人们确实在乎。”
德鲁·米特尼克,政策顾问,马上进入
麦克道尔说,FIDO联盟,成立于2013年的非营利性,创造了“开放的行业规范,为新一代的专门为用户提供更好的UX设计,同时悄悄地悄悄地提高了他们的安全的在线认证的能力。”
该组织允许用户用“公开密钥密码学和/或设备上的生物识别技术,如指纹或虹膜传感器”来替换密码和一次性密码,提供了他所说的“低摩擦用户体验和强大的安全性”。
Jakobsson着一致认为,有效用户的安全工具,“一定是非常容易使用 - 你把它们插入或注册,然后你就可以对他们忘了,并依靠工具的功能。这是关键,以一个很好的工具:让事情变得简单“。
但他警告说,即使是最好的工具,不能落入社会工程,他说,现在,“非常光滑停止用户。这不是关于利比亚的公主了。
“今天,它非常适用于听起来合理要求可以与预计的东西,或者在一些目标已经表示有兴趣,就像你的老板问你审查演示文稿和发送一些文件添加清晰,”他说。
然而,现实情况是,这取决于用户对威胁的感知,以及这是否比便利更重要。正如Mitnick所指出的,“像Tor和vpn这样的工具对于某些用户来说是生死攸关的。对另一些人来说,它们是一层额外的保护,可以让他们放心,我们在网上采取的行动是隐私。”
霍尔认为空间有限的乐观“。侧重于使用的安全机制,我们做的更好,通过以人为本的设计。”他说,但他补充说,‘我不知道它变得更好不够快,虽然’。
这篇文章,“消费者不认为他们会被黑”最初是由CSO 。