O especialista em segurança bruce schneier em senhas, privacidade e confiança

No mundo interconectado de hoje, tudo que toma é um erro de segurança para fazer todo o seu mundo desabar. Quem melhor para ligar para a assessoria do especialista em segurança Bruce Schneier?

Se você tem mesmo uma passagem interesse no questões de segurança, então você certamente se deparar com os escritos de Bruce Schneier, um guru de segurança de renome mundial que atuou em vários comités governamentais, testemunhou perante o Congresso, e é o autor de 12 livros sobre questões de segurança até agora, bem como inúmeros ensaios e trabalhos acadêmicos.Alerta vermelho: 10 Blogs Computer Security Você deve seguir hojeAlerta vermelho: 10 Blogs Computer Security Você deve seguir hojeA segurança é uma parte crucial da computação, e você deve se esforçar para educar-se e manter-se atualizado. Você vai querer verificar esses blogs dez segurança e os especialistas em segurança que os escrevem.consulte Mais informação

Depois de ouvir sobre o mais novo livro de Schneier, Continue: bons conselhos de Schneier sobre Segurança, nós decidimos que era hora de chegar a Bruce para obter alguns bons conselhos sobre alguns dos nossos próprios prementes preocupações de segurança e privacidade.

Bruce Schneier - Sound Advice

Em um mundo global repleto de espionagem digital de malware e vírus ameaças internacionais e hackers anônimos em cada esquina - ele pode ser um lugar muito assustador para qualquer um de navegar.

Video: T2S Convida Bruna Tchordach Condez | Analista em Segurança da Informação

Não tenha medo - para pedimos Bruce para nos fornecer algumas orientações sobre alguns dos mais prementes problemas de segurança hoje. Depois de ler esta entrevista, você vai pelo menos ficar com uma maior consciência do que as ameaças realmente são, eo que você pode realmente fazer para se proteger.5 coisas que aprendemos sobre segurança online em 20135 coisas que aprendemos sobre segurança online em 2013Ameaças se tornaram mais complexos e, pior, estão agora vindo de lugares que a maioria nunca esperaria - como o governo. Aqui estão 5 duras lições que aprendemos sobre a segurança on-line em 2013.consulte Mais informação

Compreender Teatro Segurança

Bruce-schneier1MUO: Como consumidor, como posso distinguir “teatro da segurança” de um aplicativo ou serviço realmente seguro? (O termo “teatro da segurança” foi escolhido entre o termo que cunhou em seus escritos anteriores sobre como os aplicativos e serviços reivindicam a segurança como um ponto de venda.)

Bruce: Você não pode. Em nossa sociedade especializada e tecnológica, você não pode dizer boa a partir de produtos e serviços ruins em muitas áreas. Você não pode dizer uma aeronave estruturalmente sólida de um um inseguro. Você não pode dizer um bom engenheiro de um charlatão. Você não pode dizer um bom produto farmacêutico de óleo de cobra. Tudo bem, no entanto. Em nossa sociedade, nós confio os outros a fazer essas determinações para nós. Nós confio programas de licenciamento e certificação do governo. Nós confio analisar organizações como a Consumers Union. Nós confio nas recomendações dos nossos amigos e colegas. Nós especialistas de confiança.Esteja seguro online: Siga 10 peritos em segurança informática no TwitterEsteja seguro online: Siga 10 peritos em segurança informática no TwitterExistem passos simples que você pode tomar para se proteger online. Usando um firewall e software antivírus, a criação de senhas seguras, não deixando os seus dispositivos unattended- estes são todos os mostos absolutos. Além de que se trata de ...consulte Mais informação

Segurança não é diferente. Porque nós não podemos dizer a um aplicativo seguro ou serviço de TI a partir de uma não segura, temos de contar com outros sinais. Claro, a segurança é tão complicado e de movimento rápido que esses sinais rotineiramente nos falham. Mas isso é teoria. Nós decidimos que nós confio, e então nós aceitar as consequências dessa confiança.

O truque é criar bons mecanismos de confiança.

DIY Segurança Auditorias?

continueMUO: O que é uma “auditoria de código” ou uma “auditoria de segurança” e como ele funciona? Crypto.cat era open-source, o que fez algumas pessoas sentem que era seguro, mas acabou por ninguém auditados-lo. Como posso encontrar essas auditorias? Existem maneiras que eu poderia auditar meu próprio uso do dia-a-dia de ferramentas, para se certificar de que estou usando coisas que realmente me protege?

Bruce: Uma auditoria significa o que você acha que isso significa: alguém olhou para ele, e pronunciou-lo bom. (Ou, pelo menos, encontrou as partes ruins e disse alguém para corrigi-los.)

As próximas perguntas também são óbvias: quem auditados-lo, quão extenso foi o de auditoria, e por que você deve confiar neles? Se você já teve uma inspeção na casa quando você comprou uma casa, você compreender as questões. Em software, boas auditorias de segurança são abrangentes e caro e - no final - não há garantia de que o software é seguro.

Auditorias só pode encontrar problemas-que nunca poderá provar a ausência de problemas. Você pode definitivamente auditar suas próprias ferramentas de software, supondo que você tem o conhecimento necessário e experiência, o acesso ao código do software, eo tempo. É como ser seu próprio médico ou advogado. Mas eu não recomendo.

Apenas voar sob o radar?

MUO: Há também a idéia de que se você usar os serviços ou precauções alta segurança, como, você está de alguma forma agindo suspeito. Se essa idéia tem mérito, devemos concentrar menos em serviços mais seguros, e em vez de tentar voar sob o radar? Como nós faríamos aquilo? Que tipo de comportamento é considerado suspeito, ou seja, o que você recebe um relatório da minoria? Qual é a melhor tática para “calar”?

bruce-quote



Bruce: O problema com a noção de voar sob o radar, ou deitado baixo, é que ele é baseado em noções pré-computador da dificuldade em perceber alguém. Quando as pessoas foram os únicos a fazer a observação, fazia sentido não atrair a sua atenção.

Mas os computadores são diferentes. Eles não são limitados por noções humanas de atenção- eles podem assistir todos ao mesmo tempo. Assim, embora possa ser verdade que o uso de criptografia é algo que a NSA dará uma especial atenção, não usá-lo não significa que você vai ser notado menos. A melhor defesa é usar serviços seguros, mesmo se ele pode ser uma bandeira vermelha. Pense nisso desta maneira: você está fornecendo cobertura para aqueles que precisam de criptografia para se manter vivo.

Privacidade e Criptografia

MUO: Vint Cerf disse que a privacidade é uma anomalia moderna, e que não temos uma expectativa razoável de privacidade no futuro. Você concorda com isso? É a privacidade um moderno ilusão / anomalia?

Video: Como escolher uma senha forte e segura

Bruce: Claro que não. A privacidade é uma necessidade humana fundamental, e algo que é muito real. Teremos uma necessidade de privacidade em nossas sociedades, desde que eles são feitos por pessoas.

MUO: Você diria que nós, como sociedade tornaram-se complacentes sobre criptografia de dados?

Video: Segurança X Confiabilidade

Bruce: Certamente nós como designers e construtores de serviços de TI tornaram-se complacentes com criptografia e segurança de dados em geral. Nós construímos uma Internet que é vulnerável a vigilância em massa, não apenas pela NSA mas de toda a outra organização nacional de inteligência no planeta, grandes corporações, e os cibercriminosos. Fizemos isso para uma variedade de razões, que vão desde “é mais fácil dessa maneira” para “nós gostamos de fazer as coisas de graça na Internet.” Mas estamos começando a perceber que o preço que está pagando é realmente muito alta, por isso espero que nós vamos fazer um esforço para mudar as coisas.

Melhorar a sua segurança e privacidade

MUO: Que forma / combinação de senhas / autorização que você considera o mais seguro? O “melhores práticas” que você recomendaria para a criação de uma senha alfanumérica?

Bruce: Eu escrevi sobre isso recentemente. Os detalhes são vale a pena ler.

Nota do Autor: O artigo ligado, eventualmente, descreve o “Esquema Schneier” que funciona para escolher senhas seguras, realmente citou seu próprio artigo de 2008 sobre o assunto.7 maneiras de compensar as senhas que são Ambos seguro & Memorável7 maneiras de compensar as senhas que são Ambos seguro & MemorávelTer uma senha diferente para cada serviço é uma necessidade no mundo on-line de hoje, mas há uma terrível fraqueza para senhas geradas aleatoriamente: é impossível lembrar de todos eles. Mas como você pode, possivelmente, lembre-se ...consulte Mais informação

“Meu conselho é pegar uma frase e transformá-lo em uma senha. Algo como ‘Este porquinho foi ao mercado` pode se tornar‘tlpWENT2m`. Essa senha de nove caracteres não será no dicionário de ninguém. Claro, não use este, porque eu tenho escrito sobre isso. Escolha a sua própria sentença, algo pessoal.”

MUO: Como pode a média melhor negócio user / lidar com a notícia de que a sua conta com um mundialmente famoso site, banco ou empresa multinacional foi comprometida (Estou falando de violações do tipo Adobe / LinkedIn dados aqui, em vez de um único banco conta violada através de fraude de cartão)? Eles devem movimentar o seu negócio? O que você acha que vai demorar para sublinhar a TI / departamentos de segurança de dados que imediata divulgação, cheio é a melhor PR?

Bruce: Isso nos traz de volta à primeira pergunta. Não há muito que os clientes podem fazer sobre a segurança de nossos dados quando está nas mãos de outras organizações. Nós simplesmente temos que confiar que eles estão indo para proteger nossos dados. E quando não o fazem - quando há uma grande falha de segurança - nossa única resposta possível é mover nossos dados em outro lugar.

Mas 1) não sabemos que é mais seguro, e 2) não temos nenhuma garantia de que nossos dados serão apagados quando nos movemos. A única solução real aqui é a regulamentação. Como tantas áreas em que não têm a experiência necessária para avaliar, e são obrigados a confiar, esperamos que o governo a intervir e fornecer um processo de confiança que podemos confiar.

Em TI, levará a legislação para assegurar que as empresas proteger nossos dados de forma adequada e nos informar quando há falhas de segurança.

Conclusão

Escusado será dizer que foi uma honra para se sentar e (praticamente) discutir estas questões com Bruce Schneier. Se você está procurando uma visão ainda mais a partir de Bruce, por todos os meios certifique-se de verificar o seu mais recente livro, continue, que promete tomada de Bruce sobre questões de segurança importantes hoje como o bombardeio Maratona de Boston, a vigilância da NSA e ciberataques chineses. Você também pode obter doses regulares de visão de Bruce em seu blog.

Como você pode dizer a partir das respostas acima, permanecendo seguro em um mundo inseguro não é exatamente fácil, mas usando as ferramentas certas, escolhendo cuidadosamente o que as empresas e os serviços que você decidir “confiança”, e usar o bom senso com suas senhas é muito bom começo.


Artigos relacionados