到目前为止的社会工程学。

在未来很长一段时间内，人类仍将容易受到社会工程学的攻击，正如俗话所说，“安全是最薄弱的环节”。

这里的很多答案都说未解决的问题是“用户”或某种变体，我不得不得出结论，最大的未解决问题是认为用户是敌人的安全从业者。

根本原因是没有明显好处的安全策略或程序，即它占用了用户的时间和精力，而用户却看不到它正在为他们做什么。解决这个问题需要将信息安全专业知识与可用性工程和社会科学相结合，以创造新的安全体验，使用户能够感知到他们的好处。

你不能真正解决最终用户的问题。好吧，无论如何，在法律上或道德上。我的投票是针对 Home Realm Discovery 问题。

编辑：最终用户问题是参考以前发布的答案。Home Realm 发现是基于声明的身份验证模型的一部分，您可以在其中选择多个服务/组织来为用户提供身份，就像 OpenID/OpenAuth 一样。当您需要确定从哪个提供商获取信息时，就会出现问题，因为您对用户一无所知。这是鸡/蛋的事情：当您不知道用户使用谁来提供他们的身份时，您如何确定谁对用户进行身份验证。

第一个明显的答案是只使用一个提供者，但这会否定模型的好处。

第二个明显的答案是询问用户。然而，这是 openID 的失败。大多数人不知道他们的提供者是谁。如果您可以针对 Google 和 Facebook 进行身份验证，但您不知道哪个与调用应用程序的配置文件相关联，会发生什么情况？

这被亲切地称为 OpenID 的 NASCAR 问题——OpenID 的启动页面通常有大量的供应商徽标，因此您需要选择要使用的供应商。当您有自定义提供程序时，它会中断。

还记得 CardSpace/InfoCard/信息卡吗？这试图解决问题。它实际上在理论上做得很好。几乎没有。

从家里或办公室的电脑上为高风险的选举进行互联网投票与“未解决问题”的规模相去甚远。对于在海外和/或在武装部队中并且没有快速、可靠的方式来返回经过选民验证的纸质选票（想想潜艇：）的选民来说，这一点尤为重要。它被提名为DESSEC的X 奖：设计安全系统工程竞赛

Ron Rivest，“RSA”中的“R”，在 2010 年的 UOCAVA 远程投票系统研讨会上就该问题进行了几次令人信服的演讲之一。您可以在此处的“议程和演示文稿”页面上查看演示文稿 http://www.nist.gov/itl/csd/ct/uocava_workshop_aug2010.cfm

这个问题比安全电子商务问题要困难得多，因为投票必须是匿名的，禁止出售选票，而且系统必须高度透明。它还涉及：

1. 在资金充足的攻击者的震网等攻击中保护服务器安全的难度
2. 在充满病毒和缺乏经验的用户的世界中保护客户的难度
3. 在特别关键的一天和一小时内必须启动的服务器上的DDoS攻击的便利性。

在回顾哥伦比亚特区最近一次互联网投票公开测试的崩溃和烧毁时，《华盛顿邮报》是正确的。

更多信息请访问

• 如果我可以在线购物和银行，为什么我不能在线投票？| 验证投票博客- 大卫杰斐逊的一篇非常有见地的帖子

• USACM 关于互联网投票和 UOCAVA 的问题简介 - http://usacm.acm.org/usacm/PDF/IB_Internet_Voting_UOCAVA.pdf

• 安全互联网投票（IT 安全问题）