坦率地说，我认为实现这一目标的唯一方法是别无选择——或者至少让做正确的事情比其他选择容易得多。您提出的所有观点都给用户带来了负担，以使信息安全的某些方面（无论多么小）正确：好吧，用户在大多数情况下都不是信息安全专家。他们是瓦工，或物理研究人员，或项目经理：我们应该让他们继续砌砖，或研究物理，或管理项目。这些是他们擅长的事情：我们应该为他们做安全工作。

举一个例子，“不要点击他不信任的链接”。例如，行政助理应该如何确定一个链接是否值得信赖？查看域的 WHOIS 记录（确保他们的 DNS 是通过“受信任的”渠道解析的）？检查 SSL 证书的详细信息？打电话给网站管理员并验证密钥指纹？只是，他为什么要相信电话号码、电话网络、电话那头的人……给人们可以指向任何地方的超链接，然后告诉他们对使用超链接做出判断，这是一个荒谬的立场。

所以我可能正忙着咆哮，但我会建议一个替代方案吗？是：停止使用向后兼容性或熟悉现有工作流程来证明继续使用损坏系统的合理性。为了解决可信链接示例，我们有两个问题：

1. 我们无法可靠地识别所有网站，因为它们并不都有识别数据，目前是 SSL 证书。
2. 我们不一定信任那些告诉我们信任 SSL 证书持有者的人

第 1 点可以很容易地解决，但代价高昂。

第 2 点更难：从技术角度来看，您可以想象从多个权威机构颁发多个证书，但是您必须拥有用于检查和评估多个证书的 UI；呸。或者你可以想象一个“信任网络”模型，人们会从他们信任的网站和他们信任的人会签密钥，等等；但现在我们又回到了以前的位置，我们必须知道该信任谁（这基本上是 Moxie Marlinspike 在Convergence中实现的）。或者您可以采用当前网络过滤工具的方法，虽然您不相信供应商会告诉您谁是好人，但您对他们的信任足以宣布某些网站肯定是坏的。

这个粗略的描述符合微软 SDL 团队所说的 NEAT 安全 UI：界面应该是Necessary、Explained、Actionable 和 Tested。将其与受信任网站的当前 UI 进行比较：当信任正常时，即不需要时，您将获得界面（挂锁图标）。单击它通常可以让您查看 SSL 证书的详细信息，但是是否有人（并且应该有人）解释 SSL 证书中的所有字段对用户意味着什么？不解释。此外，大多数浏览器只会阻止您继续访问证书明显损坏的网站，因此在许多情况下，用户界面也不是可操作的。

关键是，如果 UI 是整洁的，那么它会变得更有价值：用户会在他们（不是我们）需要做出决定的时候看到 UI；他们将被告知与他们的决定相关的支持信息；他们的决定将产生有意义的结果；我们会知道它们在良性和敌对条件下的反应。

我非常同意 Graham 的观点，如今的安全性太重要了，不能留给外行甚至程序员自己。最好有一个专门的团队来确保符合标准，包括可能影响操作用户端的标准。

在那些线上：

• 与其告诉用户在可用时使用 HTTPS，程序本身应该在可能的情况下选择 HTTPS，并且禁用它应该足够复杂以使外行人失去动力。（我记得一个著名的组织向用户提供 HTTPS 的“选择加入”而不是强制执行它。：P）
• 大多数软件都提供自动更新。话虽如此，有些人不喜欢“爱管闲事的软件”，它们会做超出他们知识范围的事情，尤其是连接到互联网。在这种情况下，每个版本本身相对安全就变得至关重要。
• 会话管理也是一个重要方面，在当今的数据挖掘和有针对性的广告时代，其使用通常与安全目标相冲突。一个网站可能想要维持会话、跟踪用户活动并在合作伙伴网站上收集数据，就像许多社交网站一样。但是更长/持续的会话意味着更大的安全风险。为了解决这样的问题，有一种很好的方法，即当用户在指定时间后访问该站点、在其他一些外部站点上进行活动或通过较新的选项卡/窗口访问时再次询问密码。
• 类似地，内容过滤也需要由内容的开发者来处理，如果不是内容的开发者，那么也需要由将内容带给用户的主机来处理。例如：反垃圾邮件可能在您的邮件提供商处实施，但也需要在您的邮件软件（如 Thunderbird 或 Outlook）中实施，浏览器中的链接检测等。

大多数用户在使用软件时没有想象力，他们通常遵循一个简单的模式。这可能被用来提高安全性或降低安全性！

我的经验是平均 Joe 确实关心安全性——不是计算机行业以外的人问过这个网站的每个成员哪个防病毒软件最好吗？我建议提出一个问题，而不是假装试图与你找到一些共同点，也就是说，一个直接的问题，清楚地表明他们想听听你认为他们可以做些什么来改善他们的处境。

也许说服不是我们所需要的。

也许对于普通乔的人来说，获取互联网街头知识的更简单的方法是需要的。

许多人已经因为不知道自己是否被感染、拥有或做愚蠢的事情而产生了安全焦虑。这意味着激励的力量已经在发挥作用。他们只是没有意识到您提到的大量危险；在星巴克使用开放式 Wi-Fi 很疯狂*，但那是街头知识。

知道为什么走在这条街上或点击那个链接是不好的——你要么必须经历它，要么要了解它。我想知道获得这种智慧是否有捷径？

我认为如果大多数人知道这意味着什么，他们会很乐意花一点额外的时间做正确的事情（即安全地）。

Alexis Conran（The Real Hustle 的合著者/演员）为 RSA 安全会议做了几个主题演讲——如果我没记错的话，他的建议集中在让自己更了解坏事以避免被拥有。我想这是另一种说法是安全的不要愚蠢。

（* http://www.immunitysec.com/products-silica.shtml是星巴克 Wi-Fi 自动拥有工具）

当谈到如何教育用户了解风险是什么，以及如何帮助他们理解他们做出的决定或在可能的情况下将决定从他们手中夺走时，格雷厄姆的回答是绝对正确的。

一个相关的问题是说服他们关心……这里最大的问题是，这对绝大多数人来说真的无关紧要，无论我们作为一个行业说什么或做什么，总会有一个群体永远不会以一种或另一种方式注意到安全影响，并会忽略我们。

我认为我们可以专注于某些群体来尝试和帮助改善当地的情况，并希望这些群体的文化规范会产生草根流动的元素。

重要注意事项：

• 目前，Joe Public 将安全视为阻止他轻松地在互联网或家用计算机上做他想做的事情的东西。

• 公众作为一个整体不想学习深奥的东西，尤其是当这可能是他们明年必须学习的不同东西时。

• 公众已经“了解到”大量信用卡详细信息的盗窃对他们没有任何影响。看看这些数字——个人不会受到负面影响的可能性很大。

那么，安全性如何为普通家庭用户带来好处呢？简单的答案可能是“它不能”，所以虽然我讨厌使用Fear作为驱动程序的想法，但我们当然应该能够利用围绕主要漏洞的宣传来帮助教育。

我能想到的唯一例外是：

• 银行应该为正确使用安全软件的个人提供更优惠的利率。简单而明显的工具包括Trusteer's Rapport 之类的工具——目前许多全球银行都在使用它，但没有积极的激励用户安装它。让它在经济上有吸引力，你会得到更好的吸收。

有用的例子包括诸如FBI 对（可能是无辜的）DDoS'er 家的突袭——取决于法庭案件和宣传的进展情况，如果你不保护你的机器以防止感染你，可能会变成这样。可能要承担责任。可能是一个远射，但吉恩西蒙斯非常好打官司，所以谁知道呢？

诚然，学生不会在意，但公司会——如果他们被 FBI 突袭的话。

所以，一些想法：

• 美联储应该追捕公司。如果该公司被证明在攻击组织的僵尸网络上托管了一台机器，则该公司应该采取惩罚措施——这将在公司层面进行教育。

• ISP 应该监管他们的 TOS - 并指控违反它们的个人 - 这可能会在个人层面进行教育。