ACM通信

我们应该给出什么安全建议?

人们应该遵循我们给他们的安全建议吗?

令人惊讶的答案是否定的。根据一项最近的一篇论文根据微软研究院的科马克·赫利的研究，人们不仅不遵循我们给他们的安全建议，而且他们也不应该这么做。

问题在于安全建议忽略了用户付出的代价。当发生损失的可能性很低，并且损失的时间或金钱成本很低时，那么保持警惕的成本肯定很低。我们要求别人做的很多事情都需要付出太多的努力。以论文为例，如果每年只有1%的人受到威胁，需要花费10个小时来清除，那么每天避免威胁所需的努力必须不超过1秒。

这是一个低得可怕的门槛。这意味着几乎所有终端用户的安全都不需要付出任何努力。

安全功能能做到这一点吗?

有些人确实是这样做的。例如，有些网站并没有对密码进行严格和强制性的限制(例如，长度在6-8个字符之间，必须包含数字和字母，必须每三周更换一次)，而只是报告对密码强度的估计，而几乎接受任何密码。这几乎不需要付出任何努力，但仍然鼓励更长、更强、更容易记住的密码。这不仅对用户有意义，对公司也有意义，因为正如论文还指出的那样，在迫使人们轻易选择难以记住的密码后，使用更多代理辅助的密码重置的成本可能高于遭受更多攻击的成本。

一些浏览器实现的另一个例子是在浏览器中显示URL时提高域的可见性。这让你更容易看到你是否在正确的网站上，可能减少了人们认为值得的门槛以下的努力。

第三个例子是反网络钓鱼功能，现在在网络浏览器中很常见。该功能检查一个网站是否存在已知的安全威胁，并在有人访问已知威胁的罕见情况下进行干预。这对于几乎所有的网页浏览来说都是零成本的，因为该功能在幕后悄无声息地工作。

也许一开始的问题是错误的。也许我们不应该问人们是否应该听从我们给他们的安全建议，而应该问我们应该给出什么建议。我们给出的安全建议必须考虑用户付出的代价。我们给出的安全建议值得遵循。

那么，我们应该给出什么安全建议呢?

没有发现记录