证明轰炸用户过多(有时是冲突)安全建议并不总是有效
分析对安全性的系统评估隐私网络上的建议将责任归咎于该行beplay体育能用吗业,因为他们没有优先考虑防御性安全。
一项由学者进行的全面和严格的研究确定了374个独特的推荐行为,其中包含在1,264个在线安全和隐私建议文档中。
这374个提示(被称为第一个全面的分类法),由1,586位用户和41位专业安全专家评估。分析表明,尽管该建议是合理的实用性和可理解的,但由于缺乏优先级排序,该建议仍然无法通过。
“大多数用户认为大多数建议至少有些可行,并且可以理解有些可理解”纸(PDF)研究人员指出。“但是,用户和专家都在努力优先考虑此建议。”
“For example, experts perceive 89% of the hundreds of studied behaviors as being effective and identify 118 of them as being among the ‘top five’ things users should do, leaving end users on their own to prioritize and take action to protect themselves,” it adds.
这项研究 - 由马里兰大学的一支合并团队组成;加利福尼亚大学圣地亚哥;和罗格斯大学 -提出了在最近的USENIX会议上,它获得了杰出的纸质奖。
Microsoft Research和马里兰大学的研究人员Elissa Redmiles博士告诉该研究,每日swbeplay2018官网ig未能解释上下文是当前安全建议的明显缺点。
Redmiles解释说:“我们看过的任何建议都没有明确其保护的威胁模型。”
测量措施
最终用户的决定仍在导致明显的安全风险网络钓鱼尽管安全性最佳实践取得了进步,但其他威胁仍会受到威胁。
这研究还考虑了安全行为消息传递的累积生态系统及其对用户的影响。
研究人员认为:“专家应严格衡量建议的行为对用户风险的影响,并无情地仅确定最小影响的最小影响集,最实用的建议。”
Redmiles表示,与其尝试使专家同意,不如将重点放在创建“社区规范以遵循最佳实践准则”上(例如,明确有关威胁模型和风险程度)。
Elissa Redmiles
这可能导致创建资源,专家可以检查他们想要针对集中式系统推荐的内容。
在医疗保健中,有组织负责评估证据并提出建议,例如美国疾病控制与预防中心(CDC)。在网络安全卫生方面缺乏可比的代理商。
Redmiles说:“ NIST(国家标准技术研究所)目前试图扮演这一角色,但并不关注消费者。”
太复杂了,已经
Akamai安全技术和战略总监Richard Meeus表示,该报告“阐明了围绕互联网和计算机安全消息传递给普通民众的许多目前的信念 - 这令人困惑,巨大,有时与其自身相抵触”。
例如,一些专家建议频繁更改密码,而另一些专家则建议更改频繁的更改,因为如果用户有义务经常切换密码,则他们更有可能使用较差的复杂,因此可以预测的登录凭据。
洞察力浏览指纹“现在在网络上比以往任何时候都更普遍” - 研究beplay体育能用吗
Synopsys高级安全工程师Boris Cipot表示,实践,建议和政策需要“易于遵循,易于应用”。
Cipot说:“自动化和简单性是用户遵循建议的最佳方法。”“对于其他一切,必须清楚地了解为什么必须执行某些任务或为什么不允许某些操作(例如单击电子邮件中的链接或附件,打开垃圾邮件消息)。”
安全素养
牛津网络期货项目总监戴维·史里尔(David Shrier)说,商学院说每日swbeplay2018官网ig该研究说明了“数据和安全素养的更广泛问题”。
他说:“大多数人没有必要的背景来判断和运用给他们的建议。”
Shrier将安全建议与用户经常面临的软件使用条款和条件进行了比较,并且几乎总是忽略了。
Shrier观察到:“人们不知道如何评估正在提出的内容,也不想花时间。”
安全专家应专注于减轻“当人们尝试优先级时对人们的认知负担”。
Shrier总结说,解决这一差距的技巧可能涉及开发标准化的视觉分类法 - “四或五个表示代表不同批判概念的图标的集合,可以与实际建议一起提出”。
