Google建议外行多学习安全专家的做法


在上周的 SOUPS(Symposium On Usable Privacy and Security,可用的隐私与安全专题研讨会)年度会议上,来自Google的三位研究人员发表了一篇题为 “…no one can hack my mind”: Comparing Expert and Non-Expert Security Practices 的研究报告。该研究对比了231位安全专家和294位非专业人士在四个方面(软件更新、杀毒程序、账号安全以及对安全问题的关心程度)具体理解与实践。

Security Practices

从图中排名前五的具体安全实践上可以看出:双方在密码管理方面还是有共同点的,而核心的不同则是对软件更新与杀毒软件的理解:

“专家能够认识到及时更新的好处——一位安全专家会反复强调修补漏洞——而非专业人士不仅意识不到它们的好处,甚至还会担心软件更新的潜在风险。”Google的研究人员这样指出。

“一位非专业人士告诉我们:’我不清楚更新软件是否一直是安全的。万一你下载到恶意软件呢?’以及‘软件自动更新在我看来并非是安全的,因为它可以被滥用于更新恶意内容。’”

他们都能认识到使用独特和强力密码的必要性,以及该情形下密码管理器所能带来的好处。而非专业人士倾向于较少使用密码管理器:一些人发现他们使用起来很复杂,一些人意识不到它们所能带来的帮助,其余的人则极不情愿地把密码径直“写”在纸上。

另外需要指出的有趣一点是,非专业人士喜爱并且使用杀毒软件。或许这只是因为它给了他们一个关于电脑安全状态的简单、具体而又看似明确的答案。但安全专家清楚杀毒软件并非是一个万无一失的解决方案,并且他们也担心有相当数量的非专业人士会认为它们是万无一失的。

非专业人士看起来会避开那些他们并不熟悉的网站,然后持续访问那些可信的网站同时坚信这类站点会是永远安全的。他们明显没有意识到的事实是,大多数的恶意软件网站并非是那些恶意攻击站点,而是那些被用来传播恶意软件的被攻击站点。

最后,这两组人群最大的不同是专业人士在双重验证可用的地方更倾向于去使用它。而不精通技术的用户们显然还不清楚这一验证机制的工作原理和使用好处,他们甚至都不清楚如何来启用这种功能,因而他们仍无法乐于使用它。

“无论是安全专家还是非专业人士,这份清单上没有那种做法会使得用户更不安全。”Google研究人员指出,“然而,对于广大非专业用户来说,在制定和传播最佳安全策略方面确实还有很明显的提升空间。”对此,他们在报告最后给出的建议是:安装更新、使用密码管理器以及启用双重验证机制。

(本文内容主要参考了Zeljka Zorz关于该研究的报道。如果本文使得你想要再检查一遍自己的安全策略的话,你可以做一下该研究报告后面所附的问卷调查。)