在问这个问题之前,我做了一个快速的谷歌搜索,并提出了以下文章,链接到 2005 年 Schneier 的博客。虽然它并没有真正回答我的问题。
随着社会从 1990 年代初到现在跨入互联网时代,计算机安全已经从一个晦涩难懂、几乎无关紧要的话题变成了每个人都需要或应该需要的一些知识。10 或 15 年前被认为是偏执狂的事情,如今只是一个很好的预防措施。
虽然不应该让爱因斯坦知道趋势的走向,但由于以下几个因素,它很可能会继续这种方式:
- 有钱。人们从安全漏洞中赚钱(而且很多!)。
- 愚蠢和/或天真的人。正因为如此,最大的安全漏洞通常是在肉类空间中发现的,并且无法真正修补。
- 功能与安全;功能现在赚钱,安全性只有在发生违规时才会得到回报。
- 由于因素 1-3,在可预见的未来,将继续从安全漏洞中获利。因为会赚钱,所以破坏安全的技术将继续改进。
- 硬件和技术进步。GPU、彩虹表、专用硬件、密码破解器,应有尽有,它要么就在这里,要么就在拐角处,并且有可能使曾经安全的东西变得不安全。
- 谷歌和精通网络的人组成的社会。研究如何破坏给定的安全措施很容易,如果存在,很可能会被发现。
上述内容的一个含义是,与一直检查您的安全性相比,通常更容易过火并设计一次非常安全的东西。例如,尽管xkcd取笑 4096 位 RSA,但现在建议使用超过 1024 位。由于我在 1024 是标准的时代开始使用 4096 位 RSA 并且谷歌搜索 4096 位 RSA 只产生一两个链接(我认为是 2004 年或 2005 年),因此我不必更改这些系统的密钥。
另一个含义是,隐蔽安全可能仅在某些形式的物理安全中真正有用,而不是在您的系统易于检查时。那是因为有针对性的攻击的第一步是研究你的目标,下一步是研究击败目标的技术(使用谷歌)。所以你开始好好想一想,如果我真的想要一个好的安全级别,我实际上需要让它适当安全,而不仅仅是看起来安全。两者之间的成本(花费的时间或金钱)可能存在很大差异。
为了使某些东西得到适当的保护,您必须分析您的防御并集思广益,以使它们可以被破坏。这需要时间。此外,如果你很聪明,你会想出几乎无穷无尽的各种方法来突破给定的防御。实施防御需要时间。此外,某些防御措施也存在一些严重的缺点。曾经加密文件并丢失密钥?你会明白我在说什么。
以这样的方式看待它,很容易采取“从轨道上核对它”的方法来确保安全。不要只是在垃圾中撕碎纸,将它们燃烧或堆肥。如果您信任它们,请使用 Noscript 和仅将站点列入白名单。从 VM 浏览。始终使用强密码。切勿在任何互联网论坛上使用相同的电子邮件帐户、用户名或密码。不要向其他人倾诉——他们将来可能会烧死你。等等等等等等
也很容易说没有人对您的数据感兴趣,或者如果您没有什么可隐藏的,那么您就没有什么可害怕的。这取决于你是谁。无论如何,有些人将成为目标。一家大公司将成为目标。富人或其家人将成为攻击目标。拥有不受欢迎的政治观点(即使是你不再持有或曾经流行的观点)可能会让你成为目标。有敌人或跟踪者吗?你是一个目标。
一些预防措施是必要的。一些预防措施可能不是必需的。有时很难分辨哪个是哪个,让你的大脑停止工作。那么,当您的强迫症与您对安全的兴趣相结合时,您会怎么做?很容易说“看看实施安全措施的成本与违规成本 * 违规概率,但即使这样做也比大多数人过去所做的要多得多,而且会消耗大量时间。
TL;DR:你如何平衡想要确保一切安全到偏执的倾向和一些实用性?是否有一些心理技巧让你说“哇,停下,你只是在这里浪费时间。”?
我认为可能让我开始一个非终止循环的部分原因是,如果我们不能忍受后果,我们就永远不应该冒险。这种说法不能从字面上理解。如果您得出合乎逻辑的结论,这意味着我们永远无法旅行。我想你确实必须有某种个人标准才能做出决定,但我还没有想出一个非常快速的启发式方法来做决定。
生活中的一些事情也应该是 100% 可靠/安全的。例如,用于响应威胁而发动核攻击的按钮。如果该按钮被按下,我们都敬酒。但是,如果 100% 的安全性或可靠性是不可能的,那么在这种情况下我们该怎么办?我很遗憾负责发出此类请求的工程师。