只有方便性得到了有效提高，人們才能聽取安全方面的建議。這是問題的關(guān)鍵。

邁克爾·卡斯勒曾經(jīng)寫過一篇題目為《用戶是在拒絕安全建議嗎？》的文章，這一話題引起了人們對應(yīng)該如何保護(hù)自己，以及為什么這些建議沒有得到重視的討論。總之，問題最后歸結(jié)到在用戶最容易獲得數(shù)據(jù)的基礎(chǔ)上進(jìn)行一次快速成本效益分析，即：自己的經(jīng)驗(yàn)教訓(xùn)。

從安全的角度來看，要求用戶采用越來越復(fù)雜步驟的建議會讓在使用方面的問題越來越多，因此，他們自然會按照自己的想法來對建議進(jìn)行分析，找出可能直接產(chǎn)生影響的，然后才會決定是否采用相關(guān)的意見。大多數(shù)用戶看不到不安全導(dǎo)致的直接后果，畢竟只有偶爾失誤的受害者才會遇到感染惡意軟件需要進(jìn)行清理的情況，因此，當(dāng)他們看到關(guān)于安全學(xué)習(xí)的建議源源不斷，接受這些建議會讓日常生活也變得類似麻煩不斷的情況也不是偶然的。

不幸的是，針對邁克爾提出問題的答案不是簡單的“是”或“否”。事實(shí)上，無論是在什么時間——這都取決于你如何看待它：

1.答案是肯定的。從用戶的角度來看，這是自然和正確的，不要把自己的時間浪費(fèi)在沒有結(jié)果的安全建議上。對于安全來說，迫切需要的是一種簡化模式，不是讓用戶成為安全專家，用戶必須通過忽略大部分建議來進(jìn)行簡化處理，只有這樣才能在保證成本不增加的前提下，方便地進(jìn)行工作。

2.答案是否定的。這里有很多好建議，可以作為帶來良好安全習(xí)慣的綜合模式的組成部分，可以在不顯著降低計(jì)算機(jī)使用方便程度的前提下，幫助人們提高工作時間的安全性。

不幸的是，選擇合適的建議并將它有效地融入日常生活，要求用戶要么精通安全方面的原則深入了解作出選擇的后果，要么是在很偶然的情況下選擇信任的單一意見來源，為用戶作出這樣的決定。在前一種情況下，一名典型用戶是無法進(jìn)行選擇的，在后一種情況下，信任和選擇正確的建議來源就是關(guān)鍵了，我們必須在保證計(jì)算機(jī)使用的前提下幫助典型的最終用戶進(jìn)行有效選擇實(shí)現(xiàn)更高的安全性。

很多了解安全復(fù)雜性原則的人都會對微軟之類公司處理安全的模式進(jìn)行諷刺，并慨嘆最終用戶趨向于毫無疑問完全信任這樣的公司。這些公司采取的方式往往會讓用戶在本來可以避免的攻擊損失更大。但從另一方面來看，在獲取最終用戶信任方面這些公司是成功的，因?yàn)榘踩珜τ谒麄儊碚f通常是由專家來進(jìn)行控制的：提供簡化的辦法來解決安全問題的復(fù)雜性。#p#

最終用戶愿意相信安全方面存在靈丹妙藥

關(guān)于這一現(xiàn)象的證據(jù)遍布我們的四周。稍微深入的了解一下，你會發(fā)現(xiàn)和安全有利益關(guān)系的人也相信存在這樣的靈丹妙藥，但是對于普通的最終用戶來說，要了解什么是簡單方便的安全決定，其余的人就要對我們?nèi)粘Ｉ钪忻鎸Φ募夹g(shù)進(jìn)行更深入的了解。因此，對于我們所有人來說，不幸的是，不存在這樣的靈丹妙藥。

但這不能阻止軟件廠商試圖提供所謂的靈丹妙藥來對付安全怪獸的行為，無論是作為一個可賺取可觀利潤的產(chǎn)品，還是一個單獨(dú)產(chǎn)品的組成部分這樣也可以賺取可觀利潤的角度來看，答案都是確定的。對于微軟之類的公司來說，采取的就是一種提供“靈丹妙藥”的模式來確保安全，盡管這樣會在向最終用戶提供有效安全方面造成長期的固有缺陷，但它們確實(shí)了解很多安全專家都沒有發(fā)現(xiàn)的安全因素：方便的重要性。

為了防止鼓勵最終用戶不進(jìn)行思考隨便選擇一下作出輕率決定的模式，安全專家們需要提供一些可以讓安全變得更方便的建議，而不是相反。寫一篇簡單的文章，介紹關(guān)于密碼安全的十項(xiàng)關(guān)鍵因素，是一個好想法，可以算是準(zhǔn)確的建議，但對于幫助普通計(jì)算機(jī)用戶提高安全性來說，這幾乎沒有什么作用。因?yàn)槠胀ㄈ藢米兓膹?fù)雜密碼來保護(hù)數(shù)據(jù)庫不受到暴力破解的攻擊沒有興趣，他們也不會記住包含了一百多種不同驗(yàn)證環(huán)境中每個不同密碼的彩虹表。

在考慮為最終用戶提供技術(shù)建議時，我們還必須要考慮到成本方面的便利。更重要的一點(diǎn)，我們必須考慮什么樣的技術(shù)建議才能作為提高方便性建議的一部分。舉例來說，我們可以告訴人們在每個網(wǎng)站中使用不同的密碼，從安全角度來看，這是一條“好”建議，但從現(xiàn)實(shí)生活中來看，它就是一條“壞”建議，因?yàn)榉浅２磺泻蠈?shí)際。讓人們在幾十個特有的強(qiáng)密碼和一個包含了不同內(nèi)容的認(rèn)證密碼之間進(jìn)行選擇的話，后者才是真正可行的。

另一方面，《優(yōu)秀密碼管理工具應(yīng)該具備的五項(xiàng)功能》一文中給出了很多寶貴意見，讓你可以在密碼的有效性和盡量高的方便性之間獲得平衡，因?yàn)樗]有只是泛泛地建議使用特有的密碼。相反，它提出了采用方便工具的理由就是，在不同的認(rèn)證環(huán)境中需要使用特有的密碼。

大多數(shù)時間，安全專家們都忘記提及他們知道的便利模式努力讓安全建議變得切實(shí)可行。我們知道密碼管理系統(tǒng)可以在同時提高方便性和安全性，但在看到網(wǎng)站密碼數(shù)據(jù)庫被破壞的時間，我們只是在想，“我不知道會有那么多人使用相同的密碼?！蔽覀儜?yīng)該考慮到的是，“我不知道為什么有這么多人沒有使用有效的密碼管理工具，應(yīng)該怎樣選擇一個有效的密碼管理工具?！?/P>

長話短說，對于如何實(shí)現(xiàn)系統(tǒng)的安全性來說，關(guān)鍵不在于簡單提出的建議。相反的是，關(guān)鍵在于怎樣選擇方便的系統(tǒng)，以提供更高的安全性。

【編輯推薦】

1. 安全建議：企業(yè)網(wǎng)對DoS攻擊的防御方法
2. SOHO族安全建議之保證上傳服務(wù)器安全(1)
3. 十大安全建議 改變您的系統(tǒng)安全等級