安全牛点评：在网络安全攻防技术高度发展的今天，人们往往把技术放在网络安全防护的第一位，而忘记了用户本身才是最大的安全漏洞。人们热衷于讨论NSA的黑客部队的高精尖攻击技术，但是忘记了NSA的合同工斯诺登只用一行最普通的wget下载命令就把NSA机密文档翻了个底朝天。

企业面临的来自人的威胁主要有两种，一种是斯诺登这种具有很高安全意识和技术的内鬼，另外一种则是另外一个极端，那就是缺乏安全意识“痛觉”的大多数员工。事实上，后者的危害，一点也不比前者小。

网络安全心理学告诉我们，要培养普通用户的安全意识，例如不去点击恶意链接或者邮件附件是非常困难的，如果不能深入了解用户上网行为心理和上下文情景，就不可能对症下药给出真正有效的安全意识提升方案，这方面Google的A/B测试小组最近进行的研究非常有趣，Google发现在现实生活中有效的规劝方式在网上完全不适用，甚至得出相反的结果。

以下内容来自cnbeta的报道，原文标题为《谷歌试错项目：提醒人们注意网络安全有多难》：

一个惊人的数字告诉我们，有98%的人在点完一个弹出窗口后，如果还有弹出窗口出现，他们就会认为这个警告有问题。

在谷歌的背后，人类心理学专家一直都在试图解决网络上最大的安全漏洞，那就是：上网的人。

各种复杂高超的黑客攻击，经常都不如用户的一次轻率的点击风险大。解决方案似乎很容易，告诉用户不要点击就是了。但是对于谷歌来说，这里面有一个微妙的平衡问题。如果直接用鲜明直接的警告的话，用户可能会转向其他的邮件提供商和搜索引擎，而这对于谷歌来说可不是小事。要知道，该公司一年600亿美元的收入就取决于人们使用谷歌的时间。

在谷歌众多的实验试错项目里有一个小组，这个小组的研究项目叫做“劝服技术”，意思是用温和的方法来改变人们的行为。该小组的研究难点在于，在现实生活中可以行得通的规劝方法，在网上不适用，结果往往与所预期的不一样。

比如，在现实世界中，当人们觉得有人在看着他们时，便会改变自己的行为。但这在网上并不适用。比如，在浏览器中显示警察的图像，或是用其他警告信息提醒人们某网站可能有危险时，其结果竟然是鼓励了更多的人访问这个网站。不过研究小组目前并未放弃努力，毕竟警告信息还是能够唤起人们的注意，使他们在点击危险网站时会多考虑一下。

一个方法是不断地用弹出窗口提醒人们，将要浏览的网页是危险的。可是一个惊人的数字告诉我们，有98%的人在点完一个弹出窗口后，如果还有弹出窗口出现，他们就会认为这个警告有问题。因此，对于弹出窗口来说，最好只弹出一次，并注明危险性就够了。

毫无疑问，人们如果不明白安全警告的意思，自然就不会对其做出响应。谷歌曾考虑过用简单的标识来鼓励人们使用双因子认证，或是手机短信验证码来增加安全性。但全世界各个国家使用的警告标识并不通用，该方法同样被搁置。

还有一个临时的解决方案是利用他人影响，比如在警告信息中告诉打算点击可疑链接的用户，有80%的用户没有这样做，因而更安全。这种解决方案的理论基础是，当人们并不确定采取什么样的行为时，倾向于效仿别人是怎么做的。但这样做有一个问题，就是当这个数字不利于警告信息的时候，比如说10%，该怎么办?

当然，不管是在谷歌还是其他地方，任何发明都是需要试错的，需要人们付出辛苦和努力，付出时间和智慧，才能最终获得成功。