Delen:
Beveiligingsexpert Bruce Schneier over wachtwoorden, privacy en vertrouwen
In de onderling verbonden wereld van vandaag is er maar één beveiligingsfout nodig om je hele wereld te laten instorten. Wie kan beter om advies vragen dan beveiligingsdeskundige Bruce Schneier?
Als je zelfs een voorbijgaande interesse hebt in beveiligingsaangelegenheden Red Alert: 10 Computerbeveiligingsblogs die je vandaag moet volgen Red Alert: 10 Computerbeveiligingsblogs die je vandaag zou moeten volgen Veiligheid is een cruciaal onderdeel van computergebruik en je moet ernaar streven jezelf te onderwijzen en op de hoogte te blijven . Je zult deze tien beveiligingsblogs en de beveiligingsexperts die ze schrijven willen bekijken. Lees Meer, dan kom je zeker de geschriften tegen van Bruce Schneier, een wereldberoemde veiligheidsgoeroe die in verschillende regeringscomités heeft gediend, die voor het Congres is getuigd, en tot dusverre de auteur was van 12 boeken over beveiligingsaangelegenheden, evenals talloze essays en academische papers.
Na gehoord te hebben van het nieuwste boek van Schneier, Doorgaan: degelijk advies van Schneier over beveiliging, We besloten dat het tijd werd om contact op te nemen met Bruce om een gedegen advies te krijgen over enkele van onze eigen dringende privacy- en veiligheidsproblemen.
Bruce Schneier - Degelijk advies
In een wereldwijde wereld vol met internationale digitale spionage, malware en virusbedreigingen en anonieme hackers om elke hoek - het kan een zeer enge plek zijn voor iedereen om te navigeren.
Wees niet bang - want we hebben Bruce gevraagd om ons wat informatie te geven over enkele van de meest urgente beveiligingsproblemen. 5 Dingen die we hebben geleerd over online beveiliging in 2013 5 dingen die we hebben geleerd over online beveiliging in 2013 Bedreigingen zijn complexer geworden en, erger nog, zijn nu afkomstig van plaatsen die de meesten nooit zouden verwachten, zoals de regering. Hier zijn 5 harde lessen die we hebben geleerd over online beveiliging in 2013. Lees Meer vandaag. Na het lezen van dit interview, loop je in ieder geval weg met een groter bewustzijn van wat de bedreigingen werkelijk zijn en wat je echt kunt doen om jezelf te beschermen.
Beveiligingstheater begrijpen
MUO: Hoe kan ik als consument onderscheid maken? “beveiligingstheater” van een echt veilige app of dienst? (De voorwaarde “beveiligingstheater” werd gekozen uit de term die u in uw eerdere geschriften gebruikte over hoe apps en services beveiliging claimen als een verkoopargument.)
Bruce: Dat kan niet. In onze gespecialiseerde en technologische samenleving kun je op veel gebieden niet goed zeggen van slechte producten en diensten. Je kunt een structureel gezond vliegtuig niet zien aan een onveilig vliegtuig. Je kunt een goede ingenieur niet vertellen van een charlatan. Je kunt een goed farmaceutisch product niet vertellen aan slangolie. Dat is oké. In onze maatschappij vertrouwen we anderen om die beslissingen voor ons te nemen. We vertrouwen op licentie- en certificeringsprogramma's van overheden. We vertrouwen erop dat organisaties zoals de consumentenunie worden beoordeeld. We vertrouwen op de aanbevelingen van onze vrienden en collega's. We vertrouwen op experts Blijf veilig online: volg 10 experts op het gebied van computerbeveiliging op Twitter Blijf veilig online: volg 10 experts op het gebied van computerbeveiliging op Twitter Er zijn eenvoudige stappen die u kunt nemen om uzelf online te beschermen. Een firewall- en antivirussoftware gebruiken, beveiligde wachtwoorden maken en uw apparaten niet onbeheerd achterlaten; dit zijn allemaal absolute musts. Voorbij komt het naar beneden ... Lees meer .
Beveiliging is niet anders. Omdat we een beveiligde app of IT-service niet van een onveilige kunnen vertellen, moeten we op andere signalen vertrouwen. Natuurlijk is IT-beveiliging zo gecompliceerd en snel, dat die signalen ons routinematig falen. Maar dat is theorie. We beslissen wie we vertrouwen en accepteren de consequenties van dat vertrouwen.
De kunst is om goede vertrouwensmechanismen te creëren.
DIY beveiligingsaudits?
MUO: Wat is een “code audit” of a “beveiligingsaudit” en hoe werkt het? Crypto.cat was open-source, waardoor sommige mensen vonden dat het veilig was, maar het bleek dat niemand het had gecontroleerd. Hoe kan ik deze audits vinden? Zijn er manieren om mijn eigen dagelijkse gebruik van hulpmiddelen te controleren, om er zeker van te zijn dat ik dingen gebruik die me echt beschermen?
Bruce: Een audit betekent wat u denkt dat het betekent: iemand anders heeft ernaar gekeken en het goed bevonden. (Of, op zijn minst, vond de slechte delen en vertelde iemand om ze te repareren.)
De volgende vragen liggen ook voor de hand: wie heeft het gecontroleerd, hoe uitgebreid was de audit en waarom zou u ze vertrouwen? Als u ooit een inspectie van het huis hebt gehad toen u een huis kocht, begrijpt u de problemen. In software zijn goede beveiligingsaudits uitgebreid en duur en - op het einde - geen garantie dat de software veilig is.
Audits kunnen alleen problemen vinden; ze kunnen nooit bewijzen dat er geen problemen zijn. U kunt uw eigen softwaretools zeker controleren, ervan uitgaande dat u over de vereiste kennis en ervaring, toegang tot de softwarecode en de tijd beschikt. Het is net alsof je je eigen arts of advocaat bent. Maar ik raad het niet aan.
Vlieg gewoon onder de radar?
MUO: Er is ook een idee dat als je zulke hoogbeveiligde diensten of voorzorgsmaatregelen gebruikt, je op de een of andere manier achterdochtig bent. Als dat idee zin heeft, moeten we ons dan minder concentreren op veiliger diensten en proberen we in plaats daarvan onder de radar te vliegen? Hoe zouden we dat doen? Welk soort gedrag wordt als verdacht beschouwd, d.w.z. wat levert u een minderheidsrapport op? Wat is de beste tactiek om “lag laag”?
Bruce: Het probleem met het idee om onder de radar te vliegen of laag te liggen, is dat het gebaseerd is op pre-computer-noties van de moeilijkheid iemand op te merken. Toen mensen degenen waren die het kijken deden, was het logisch om hun aandacht niet te trekken.
Maar computers zijn anders. Ze worden niet beperkt door menselijke noties van aandacht; ze kunnen iedereen tegelijkertijd bekijken. Dus hoewel het waar is dat het gebruik van encryptie iets is waar de NSA speciaal rekening mee houdt, betekent niet dat het gebruik ervan betekent dat u minder opvalt. De beste verdediging is om beveiligde services te gebruiken, zelfs als dit een rode vlag is. Zie het op deze manier: u biedt dekking voor degenen die codering nodig hebben om in leven te blijven.
Privacy en cryptografie
MUO: Vint Cerf zei dat privacy een moderne anomalie is en dat we in de toekomst geen redelijke verwachting voor privacy hebben. Ga je hiermee akkoord? Is privacy een moderne illusie / anomalie?
Bruce: Natuurlijk niet. Privacy is een fundamentele menselijke behoefte en iets dat heel reëel is. We zullen behoefte hebben aan privacy in onze samenlevingen zolang ze bestaan uit mensen.
MUO: Zou u zeggen dat wij als samenleving zelfvoldaan zijn geworden met betrekking tot datacodografie?
Bruce: Zeker wij als ontwerpers en bouwers van IT-services zijn zelfgenoegzaam geworden over cryptografie en gegevensbeveiliging in het algemeen. We hebben een internet gebouwd dat kwetsbaar is voor massasurveillance, niet alleen door de NSA, maar door elke andere nationale inlichtingenorganisatie op de planeet, grote bedrijven en cybercriminelen. We hebben dit om verschillende redenen gedaan, variërend van “het is makkelijker op die manier” naar “we vinden dingen graag gratis op internet.” Maar we beginnen ons te realiseren dat de prijs die we betalen eigenlijk behoorlijk hoog is, dus hopelijk zullen we ons best doen om de dingen te veranderen.
Verbetering van uw beveiliging en privacy
MUO: Welke vorm / combinatie van wachtwoorden / autorisatie acht u het meest veilig? Wat “beste praktijken” zou je aanbevelen om een alfanumeriek wachtwoord te maken?
Bruce: Ik heb er onlangs over geschreven. De details zijn de moeite van het lezen waard.
Notitie van de auteur: Het gekoppelde artikel beschrijft uiteindelijk de “Schneier-regeling” dat werkt voor het kiezen van veilige wachtwoorden 7 manieren om wachtwoorden op te maken die beide veilig en memorabel zijn 7 manieren om wachtwoorden op te maken die zowel veilig als memorabel zijn Een ander wachtwoord voor elke service is een must in de online wereld van vandaag, maar er is een vreselijke zwakte naar willekeurig gegenereerde wachtwoorden: het is onmogelijk om ze allemaal te onthouden. Maar hoe kunt u zich mogelijk herinneren ... Lees meer, eigenlijk geciteerd uit zijn eigen artikel uit 2008 over het onderwerp.
“Mijn advies is om een zin te nemen en het in een wachtwoord te veranderen. Iets als 'Dit kleine varkentje ging naar de markt' kan 'tlpWENT2m' worden. Dat wachtwoord van negen tekens staat niet in iemands woordenboek. Gebruik deze natuurlijk niet, omdat ik erover heb geschreven. Kies je eigen zin - iets persoonlijks.”
MUO: Hoe kan de gemiddelde gebruiker het beste omgaan met het nieuws dat zijn account bij een wereldberoemde website, bank of multinational is aangetast (ik heb het hier over datalekken van het Adobe / LinkedIn-type in plaats van een enkele bank) account geschonden door kaartfraude)? Moeten ze hun bedrijf verplaatsen? Wat denk je dat het nodig zal maken om IT / dataveiligheidsafdelingen te benadrukken dat onmiddellijke, volledige openbaarmaking de beste PR is?
Bruce: Dit brengt ons terug bij de eerste vraag. We kunnen als klanten niet veel doen aan de beveiliging van onze gegevens wanneer deze in handen is van andere organisaties. We moeten gewoon vertrouwen hebben dat ze onze gegevens gaan beveiligen. En wanneer dat niet het geval is - wanneer er een grote inbreuk op de beveiliging is - is onze enige mogelijke reactie om onze gegevens ergens anders te verplaatsen.
Maar 1) we weten niet wie veiliger is, en 2) we hebben geen garantie dat onze gegevens zullen worden gewist als we verhuizen. De enige echte oplossing hier is regulering. Zoals zoveel gebieden waar we niet over de expertise beschikken om te evalueren en die we moeten vertrouwen, verwachten we van de overheid dat ze instapt en een betrouwbaar proces biedt waarop we kunnen vertrouwen..
In IT zal het wetgeving vereisen om ervoor te zorgen dat bedrijven onze gegevens adequaat beveiligen en ons op de hoogte brengen wanneer er beveiligingsinbreuken zijn.
Conclusie
Het is vanzelfsprekend dat het een eer was om buiten te zitten en (virtueel) deze zaken met Bruce Schneier te bespreken. Als je nog meer inzicht wilt van Bruce, lees dan vooral zijn nieuwste boek, Carry On, waarin Bruce wordt beloofd belangrijke beveiligingsproblemen aan te pakken zoals de Boston Marathon-bombardementen, NSA-surveillance en Chinese cyberaanvallen. Je kunt ook regelmatige doses Bruce's inzichten krijgen op zijn blog.
Zoals je aan de bovenstaande antwoorden kunt zien, is veilig blijven in een onveilige wereld niet bepaald eenvoudig, maar met de juiste tools, zorgvuldig kiezen welke bedrijven en services je besluit om “vertrouwen”, en het gebruik van gezond verstand met uw wachtwoorden is een goed begin.
Meer informatie over: online beveiliging, wachtwoord.