Teilen Sie dies:
Sicherheitsexperte Bruce Schneier zu Passwörtern, Datenschutz und Vertrauen
In der heutigen vernetzten Welt reicht ein einziger Sicherheitsfehler aus, um Ihre gesamte Welt zum Absturz zu bringen. An wen wenden Sie sich besser als der Sicherheitsexperte Bruce Schneier??
Wenn Sie auch nur ein vorübergehendes Interesse an Sicherheitsfragen haben, sollten Sie Red Alarm: 10 Computer-Sicherheits-Blogs folgen, die Sie heute befolgen sollten. Rot Alert: 10 Computer-Sicherheits-Blogs, die Sie heute befolgen sollten. Sicherheit ist ein entscheidender Bestandteil des Computerwesens . Sie sollten sich diese zehn Sicherheitsblogs und die Sicherheitsexperten ansehen, die sie schreiben. Lesen Sie mehr, dann sind Sie sicherlich auf die Schriften von Bruce Schneier gestoßen, einem weltbekannten Sicherheitsguru, der in zahlreichen Regierungskomitees diente, vor dem Kongress ausgesagt hat und 12 Bücher über Sicherheitsfragen veröffentlicht hat unzählige Aufsätze und wissenschaftliche Arbeiten.
Nachdem ich von Schneiers neuestem Buch gehört hatte, Machen Sie weiter: Gute Ratschläge von Schneier zur Sicherheit, Wir beschlossen, dass es an der Zeit war, sich mit Bruce in Verbindung zu setzen, um fundierte Ratschläge bezüglich unserer eigenen dringenden Datenschutz- und Sicherheitsbedenken einzuholen.
Bruce Schneier - Tonberatung
In einer globalen Welt mit internationaler digitaler Spionage, Malware- und Virenbedrohungen sowie anonymen Hackern an jeder Ecke ist dies ein äußerst beängstigender Ort für jeden, der navigieren kann.
Haben Sie keine Angst - denn wir haben Bruce gebeten, uns einige Hinweise zu einigen der dringlichsten Sicherheitsprobleme zu geben. 5 Dinge, die wir über Online-Sicherheit im Jahr 2013 gelernt haben 5 Dinge, die wir über Online-Sicherheit im Jahr 2013 gelernt haben Bedrohungen sind komplexer geworden und, schlimmer, sind sie Jetzt kommen sie aus Orten, die die meisten niemals erwarten würden - wie die Regierung. Hier sind 5 harte Lektionen, die wir 2013 zur Online-Sicherheit gelernt haben. Lesen Sie heute mehr. Nachdem Sie dieses Interview gelesen haben, wissen Sie zumindest, was die Bedrohungen wirklich sind und was Sie wirklich tun können, um sich selbst zu schützen.
Sicherheitstheater verstehen
MUO: Wie kann ich mich als Verbraucher unterscheiden? “Sicherheitstheater” von einer wirklich sicheren App oder Dienstleistung? (Der Begriff “Sicherheitstheater” Sie wurden aus dem Begriff ausgewählt, den Sie in Ihren früheren Schriften darüber formuliert haben, wie Apps und Services Sicherheit als Verkaufsargument beanspruchen.)
Bruce: Du kannst nicht In unserer spezialisierten und technologischen Gesellschaft kann man in vielen Bereichen schlechte Produkte und Dienstleistungen nicht gut beurteilen. Sie können ein strukturell einwandfreies Flugzeug nicht von einem unsicheren unterscheiden. Sie können einen guten Ingenieur nicht von einem Scharlatan unterscheiden. Man kann ein gutes pharmazeutisches Produkt nicht von Schlangenöl unterscheiden. Das ist aber okay. In unserer Gesellschaft vertrauen wir anderen darauf, diese Entscheidungen für uns zu treffen. Wir vertrauen auf staatliche Lizenz- und Zertifizierungsprogramme. Wir vertrauen darauf, Organisationen wie die Consumers Union zu überprüfen. Wir vertrauen den Empfehlungen unserer Freunde und Kollegen. Wir vertrauen darauf, dass Experten online bleiben: 10 Experten für Computersicherheit auf Twitter folgen Online sicher bleiben: 10 Experten für Computersicherheit bei Twitter folgen Es gibt einfache Schritte, um sich online zu schützen. Verwenden Sie eine Firewall und Antivirensoftware, erstellen Sie sichere Kennwörter und lassen Sie Ihre Geräte nicht unbeaufsichtigt. das sind alles absolute musts. Darüber hinaus kommt es… Weiterlesen .
Sicherheit ist nicht anders. Da wir eine sichere App oder einen sicheren IT-Service nicht von unsicheren unterscheiden können, müssen wir uns auf andere Signale verlassen. Natürlich ist die IT-Sicherheit so kompliziert und schnell, dass uns diese Signale routinemäßig versagen. Aber das ist die Theorie. Wir entscheiden, wem wir vertrauen, und dann akzeptieren wir die Konsequenzen dieses Vertrauens.
Der Trick besteht darin, gute Vertrauensmechanismen zu schaffen.
DIY-Sicherheitsaudits?
MUO: Was ist ein “Code-Prüfung” oder ein “Sicherheitsaudit” und wie funktioniert es? Crypto.cat war Open Source, was einigen Leuten das Gefühl gab, es sei sicher, aber es stellte sich heraus, dass niemand es auditierte. Wie kann ich diese Audits finden? Gibt es Möglichkeiten, wie ich meine tägliche Verwendung von Werkzeugen überprüfen kann, um sicherzustellen, dass ich Dinge benutze, die mich wirklich schützen?
Bruce: Ein Audit bedeutet, was Sie denken, es bedeutet: jemand anderes hat es angesehen und für gut befunden. (Oder zumindest die schlechten Teile gefunden und jemandem befohlen, sie zu reparieren.)
Die nächsten Fragen liegen ebenfalls auf der Hand: Wer hat sie geprüft, wie umfangreich war die Prüfung und warum sollten Sie ihnen vertrauen? Wenn Sie beim Kauf eines Hauses schon einmal eine Hausinspektion durchgeführt haben, verstehen Sie die Probleme. In Software sind gute Sicherheitsüberprüfungen umfangreich und teuer und bieten am Ende keine Gewähr für die Sicherheit der Software.
Audits können nur Probleme finden; Sie können niemals das Fehlen von Problemen beweisen. Sie können Ihre eigenen Softwaretools definitiv überprüfen, vorausgesetzt, Sie verfügen über das erforderliche Wissen und die erforderliche Erfahrung, Zugriff auf den Softwarecode und die Zeit. Es ist wie ein eigener Arzt oder Anwalt. Aber ich kann es nicht empfehlen.
Fliegen Sie einfach unter dem Radar?
MUO: Es gibt auch die Idee, dass Sie, wenn Sie solche hochsicheren Dienste oder Vorsichtsmaßnahmen verwenden, irgendwie verdächtig wirken. Wenn diese Idee von Vorteil ist, sollten wir uns weniger auf sicherere Dienste konzentrieren und stattdessen versuchen, unter dem Radar zu fliegen? Wie machen wir das? Welche Art von Verhalten wird als verdächtig angesehen, d. H. Was bringt Sie zu einem Minderheitenbericht? Was ist die beste Taktik? “niedrig liegen”?
Bruce: Das Problem mit dem Gedanken, unter dem Radar zu fliegen oder niedrig zu liegen, besteht darin, dass es auf Vor-Computer-Vorstellungen von der Schwierigkeit basiert, jemanden zu bemerken. Wenn die Leute die Zuschauer waren, machte es Sinn, ihre Aufmerksamkeit nicht auf sich zu ziehen.
Aber Computer sind anders. Sie sind nicht durch menschliche Vorstellungen von Aufmerksamkeit begrenzt; Sie können alle gleichzeitig beobachten. Zwar mag es wahr sein, dass die Verwendung von Verschlüsselung etwas ist, worauf die NSA besonders aufmerksam ist. Wenn sie nicht verwendet wird, bedeutet das nicht, dass Sie weniger wahrgenommen werden. Die beste Verteidigung ist die Verwendung sicherer Dienste, auch wenn es sich um eine rote Flagge handelt. Stellen Sie sich das so vor: Sie bieten Schutz für diejenigen, die Verschlüsselung benötigen, um am Leben zu bleiben.
Datenschutz und Kryptographie
MUO: Vint Cerf sagte, dass die Privatsphäre eine moderne Anomalie ist und dass wir in Zukunft keine vernünftigen Erwartungen an die Privatsphäre haben. Stimmst du dem zu? Ist die Privatsphäre eine moderne Illusion / Anomalie??
Bruce: Natürlich nicht. Privatsphäre ist ein grundlegendes menschliches Bedürfnis und etwas sehr Reales. Wir werden ein Bedürfnis nach Privatsphäre in unseren Gesellschaften haben, solange sie aus Menschen bestehen.
MUO: Würden Sie sagen, dass wir als Gesellschaft in Bezug auf die Datenkryptographie selbstzufrieden sind?
Bruce: Sicherlich haben wir uns als Entwickler und Entwickler von IT-Services mit der Kryptographie und der Datensicherheit im Allgemeinen zuversichtlich. Wir haben ein Internet aufgebaut, das für Massenüberwachung anfällig ist, nicht nur von der NSA, sondern von jeder anderen nationalen Geheimdienstorganisation auf der Erde, von großen Unternehmen und von Cyberkriminellen. Wir haben dies aus einer Reihe von Gründen getan, die von reichen “es ist einfacher so” zu “wir möchten Dinge kostenlos im Internet erhalten.” Wir beginnen jedoch zu erkennen, dass der Preis, den wir zahlen, tatsächlich ziemlich hoch ist. Hoffentlich bemühen wir uns, die Dinge zu ändern.
Sicherheit und Datenschutz verbessern
MUO: Welche Form / Kombination von Passwörtern / Autorisierung halten Sie für am sichersten? Was “Best Practices” würden Sie empfehlen, ein alphanumerisches Passwort zu erstellen?
Bruce: Ich habe kürzlich darüber geschrieben. Die Details sind lesenswert.
Anmerkung des Verfassers: Der verlinkte Artikel beschreibt schließlich das “Schneier-Schema” Das funktioniert bei der Wahl sicherer Kennwörter. 7 Möglichkeiten, sichere und denkwürdige Kennwörter zu erstellen 7 Möglichkeiten, sichere und denkwürdige Kennwörter zu erstellen In der heutigen Online-Welt ist es ein Muss, für jeden Dienst ein anderes Kennwort zu verwenden. Es gibt jedoch eine schreckliche Schwäche Zufällig generierte Passwörter: Es ist unmöglich, sich alle zu merken. Aber wie können Sie sich vielleicht erinnern… Read More, tatsächlich zitiert aus seinem eigenen Artikel von 2008 zu diesem Thema.
“Mein Rat ist, einen Satz zu nehmen und daraus ein Passwort zu machen. So etwas wie "Dieses kleine Schweinchen ist auf den Markt gekommen" könnte zu "tlpWENT2m" werden. Dieses neunstellige Passwort steht nicht in einem Wörterbuch. Verwenden Sie diese natürlich nicht, weil ich darüber geschrieben habe. Wählen Sie Ihren eigenen Satz aus.”
MUO: Wie kann der Durchschnittsbenutzer mit den Nachrichten am besten umgehen / umgehen, dass sein Konto bei einer weltbekannten Website, einer Bank oder einem multinationalen Unternehmen gefährdet ist (ich spreche hier von Datenverletzungen des Typs Adobe / LinkedIn und nicht von einer einzigen Bank) Konto durch Kartenbetrug verletzt)? Sollten sie ihr Geschäft verschieben? Was halten Sie Ihrer Meinung nach für die IT- / Datensicherheitsabteilungen, dass sofortige vollständige Offenlegung die beste PR ist??
Bruce: Dies bringt uns zur ersten Frage zurück. Wir können nicht viel für die Sicherheit unserer Daten tun, wenn sie in den Händen anderer Unternehmen liegen. Wir müssen einfach darauf vertrauen, dass sie unsere Daten sichern werden. Wenn dies nicht der Fall ist - bei einem großen Sicherheitsverstoß - können wir unsere Daten nur an einen anderen Ort verschieben.
Aber 1) wir wissen nicht, wer sicherer ist, und 2) wir können nicht garantieren, dass unsere Daten gelöscht werden, wenn wir umziehen. Die einzige wirkliche Lösung ist hier die Regulierung. Wie in so vielen Bereichen, in denen wir nicht über das erforderliche Fachwissen verfügen und vertrauen müssen, erwarten wir von der Regierung, dass sie eintritt und einen vertrauenswürdigen Prozess bereitstellt, auf den wir uns verlassen können.
Im IT-Bereich sind Gesetze erforderlich, um sicherzustellen, dass Unternehmen unsere Daten angemessen sichern und uns bei Sicherheitsverstößen informieren.
Fazit
Es versteht sich von selbst, dass es eine Ehre war, mit Bruce Schneier (virtuell) über diese Probleme zu sprechen. Wenn Sie nach noch mehr Einsichten von Bruce suchen, schauen Sie sich unbedingt sein letztes Buch "Carry On" an, in dem Bruce sich heute mit wichtigen Sicherheitsfragen wie dem Boston-Marathon-Bombenanschlag, der NSA-Überwachung und chinesischen Cyber-Attacken befasst. In seinem Blog können Sie auch regelmäßig Dossiers Erkenntnisse von Bruce erhalten.
Wie Sie anhand der obigen Antworten erkennen können, ist es nicht ganz einfach, in einer unsicheren Welt sicher zu sein. Verwenden Sie jedoch die richtigen Tools, und wählen Sie sorgfältig aus, für welche Unternehmen und Dienstleistungen Sie sich entscheiden “Vertrauen”, und den gesunden Menschenverstand mit Ihren Passwörtern zu verwenden, ist ein sehr guter Anfang.
Erfahren Sie mehr über: Online-Sicherheit, Passwort.