人才是最大的网络安全漏洞:被忽视的网络安全心理学
作者:星期四, 四月 3, 20141

ff_nsaskull_large1

安全牛点评:在网络安全攻防技术高度发展的今天,人们往往把技术放在网络安全防护的第一位,而忘记了用户本身才是最大的安全漏洞。人们热衷于讨论NSA的黑客部队的高精尖攻击技术,但是忘记了NSA的合同工斯诺登只用一行最普通的wget下载命令就把NSA机密文档翻了个底朝天。

企业面临的来自人的威胁主要有两种,一种是斯诺登这种具有很高安全意识和技术的内鬼,另外一种则是另外一个极端,那就是缺乏安全意识“痛觉”的大多数员工。事实上,后者的危害,一点也不比前者小。

网络安全心理学告诉我们,要培养普通用户的安全意识,例如不去点击恶意链接或者邮件附件是非常困难的,如果不能深入了解用户上网行为心理和上下文情景,就不可能对症下药给出真正有效的安全意识提升方案,这方面Google的A/B测试小组最近进行的研究非常有趣,Google发现在现实生活中有效的规劝方式在网上完全不适用,甚至得出相反的结果。

以下内容来自cnbeta的报道,原文标题为《谷歌试错项目:提醒人们注意网络安全有多难》:

一个惊人的数字告诉我们,有98%的人在点完一个弹出窗口后,如果还有弹出窗口出现,他们就会认为这个警告有问题。

在谷歌的背后,人类心理学专家一直都在试图解决网络上最大的安全漏洞,那就是:上网的人。

各种复杂高超的黑客攻击,经常都不如用户的一次轻率的点击风险大。解决方案似乎很容易,告诉用户不要点击就是了。但是对于谷歌来说,这里面有一个微妙的平衡问题。如果直接用鲜明直接的警告的话,用户可能会转向其他的邮件提供商和搜索引擎,而这对于谷歌来说可不是小事。要知道,该公司一年600亿美元的收入就取决于人们使用谷歌的时间。

在谷歌众多的实验试错项目里有一个小组,这个小组的研究项目叫做“劝服技术”,意思是用温和的方法来改变人们的行为。该小组的研究难点在于,在现实生活中可以行得通的规劝方法,在网上不适用,结果往往与所预期的不一样。

比如,在现实世界中,当人们觉得有人在看着他们时,便会改变自己的行为。但这在网上并不适用。比如,在浏览器中显示警察的图像,或是用其他警告信息提醒人们某网站可能有危险时,其结果竟然是鼓励了更多的人访问这个网站。不过研究小组目前并未放弃努力,毕竟警告信息还是能够唤起人们的注意,使他们在点击危险网站时会多考虑一下。

一个方法是不断地用弹出窗口提醒人们,将要浏览的网页是危险的。可是一个惊人的数字告诉我们,有98%的人在点完一个弹出窗口后,如果还有弹出窗口出现,他们就会认为这个警告有问题。因此,对于弹出窗口来说,最好只弹出一次,并注明危险性就够了。

毫无疑问,人们如果不明白安全警告的意思,自然就不会对其做出响应。谷歌曾考虑过用简单的标识来鼓励人们使用双因子认证,或是手机短信验证码来增加安全性。但全世界各个国家使用的警告标识并不通用,该方法同样被搁置。

还有一个临时的解决方案是利用他人影响,比如在警告信息中告诉打算点击可疑链接的用户,有80%的用户没有这样做,因而更安全。这种解决方案的理论基础是,当人们并不确定采取什么样的行为时,倾向于效仿别人是怎么做的。但这样做有一个问题,就是当这个数字不利于警告信息的时候,比如说10%,该怎么办?

当然,不管是在谷歌还是其他地方,任何发明都是需要试错的,需要人们付出辛苦和努力,付出时间和智慧,才能最终获得成功。

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章