大多数人都说他们关心他们的在线安全和隐私。民意调查后民意调查确认人们期望的是什么:他们不希望他们的身份被盗,手机被砍成,信用卡受到损害或废弃的银行账户。他们不欢迎政府或其他任何人对他们进行监控,特别是在他们的私人生活中。
但这些民意调查也显示,在这些人当中,有一小部分人似乎不愿意付出太多努力去做他们说想做的事——保护自己的隐私和安全。
最近的一个调查对于VPN提供商的Morar Consulting来隐藏我的屁股的2,000名消费者!,发现67%的受访者表示他们希望额外的隐私层,但只有16%的使用隐私增强了浏览器插件;13%使用双因素认证;11%的使用VPN,9%的使用电子邮件加密;和4%的使用匿名软件,例如Tor(洋葱路由器)。
为什么?根据心理学研究,这不仅仅是因为人们懒惰或无能。这更像是我们与生俱来的方式。民主与技术中心(CDT)的首席技术专家约瑟夫·洛伦佐·霍尔(Joseph Lorenzo Hall)指出,关于它的研究可以追溯到一个多世纪以前。
实际上,1883年,荷兰密码们奥古斯特克霍夫写了这为了让军事加密系统工作,它必须是,“......易于使用,既不需要心灵的压力,也不需要对长大系列规则的了解......”
将其应用于现代在线世界,它几乎保证了大多数人将忽略对不同网站和设备维护安全的复杂密码的劝告。
正如FIDO联盟的执行董事布雷特·麦克道尔所说,“不幸的是,对于我们这些从事信息安全工作的人来说,用户‘根据自己的习惯投票’,而且绝大多数人都清楚地告诉我们,用户体验(UX)比隐私和安全更重要。”
布雷特•麦克道尔FIDO联盟执行董事
不仅仅是用户体验在起作用。更近一些,2008年,研究员瑞安·韦斯特写道这是一个多世纪的研究表明,大多数人认为他们不太容易受到风险的影响,而不是其他人 - 更好的司机,而不是其他人,不太可能受到消费品的伤害,并且他们将超越平均预期寿命。
他写道:“毫无疑问,任何电脑用户都认为他们的电脑受到攻击的风险比其他人要小。”
韦斯特补充说,有证据表明,当人们增加他们的安全措施时,比如安装个人防火墙,他们倾向于从事更危险的行为——这被称为“风险自我平衡”,或风险水平。
韦斯特写道,这是因为便利带来的回报是即时和有形的,而安全带来的回报则是抽象和无形的,尽管用户被黑客攻击带来的潜在不便和成本要大得多。
Hall的CDT同事,隐私和数据主任Katharina Kopp认为这不仅仅是延迟或抽象满足的问题。她认为这是因为安全性是耗时和复杂的。
“我不能想到我们现代的许多领域,在那里我们询问了这么多消费者,”她说。例如,在汽车或制药市场中,完全理解,我们不指望个别消费者成为专家,并在所有保障中建立。“
凯瑟琳科普民主与技术中心(Center for Democracy & Technology)主管、隐私和数据
大厅一部分同意。虽然消费者不需要建立自己的安全工具,但他表示,这些工具对于平均消费者来说可能是艰难的。
“很少有人像我这样,”他说,“在Firefox中,没有脚本(没有JavaScript), RequestPolicy(所有第三方加载必须手动白名单),httpeverywhere,等等。
“我对我的桌面浏览体验进行了体面控制,但需要很多梳理,很多技术理解,看起来我在1996年冲浪,白色背景上的黑色文字和少数图片。”
麦克道尔提供了另一个例子:“许多网站提供双因素认证作为一个选项,但这些选项,如一次性密码从物理安全令牌或短信发送到用户拥有的特定移动设备,对用户来说是一个麻烦,”他说。
“消费者不想输入多个密码以进入一个帐户,这么多永远不会选择或快速选择。”
安全研究员、首席技术官、ZapFraud创始人马库斯·雅各布森(Markus Jakobsson)说,另一个问题是,“对大多数人来说,因果关系非常模糊。”做什么是安全的?安全是什么?”
他说,当用户不断听到与他们无关的重大入侵事件时,他们往往也会变得听天由命。“当问题超出人们的控制范围时,人们往往会举手投降,说,‘何必麻烦呢?’”他说。
Markus Jakobsson.ZapFraud安全研究员、首席技术官和创始人
KOPP表示,在线安全性很难,政府应该与许多消费品一起为产品供应商设置一些“基线要求”,“不仅仅是为了保护个人福祉,而且整个社会。”
虽然不是每个人都同意政府是设定标准的最佳实体,但有些好消息是,在行业方面迈向消费者安全更简单 - 尽管有一种方法可以达到临界质量。
根据大厅,一些工具,如iMessage,“是非常可用的,而其他工具则如PGP(非常好的隐私 - 加密工具),非常非常难以使用。”
Access Now的政策顾问德鲁·米特尼克(Drew Mitnick)说:“提供端到端加密的私人通讯应用无处不在。”他说,那些保护用户隐私和安全的应用程序和其他应用程序的市场在不断增长,“表明人们确实在乎。”
了米特尼克,政策律师,现在访问
麦克道尔说,FIDO联盟,一个成立于2013年的非营利组织,已经为新一代在线认证功能制定了开放的行业规范,专门为用户提供更好的用户体验,同时悄悄地、不明显地提高他们的安全性。
该组织允许用户将密码和一次性密码替换为“公开密钥密码和/或设备上的生物识别技术,如指纹或虹膜传感器,”提供他所说的“低摩擦的用户体验和强大的安全性。”
Jakobsson同意有效的用户安全工具,“必须非常容易使用——你插入它们或注册它们,然后你可以忘记它们而依赖于工具的功能。”这是一个好工具的关键:让它变得简单。”
但他警告说,即使是最好的工具也不能阻止用户爱上社会工程,他说现在社会工程“非常巧妙”。现在已经不是利比亚公主的问题了。
“今天,它在合理的探测请求中很好地应用,这些请求可以与预期的东西相结合,或者是为了响应目标对目标感兴趣的东西,就像你的老板要求你审查PowerPoint演示文稿并发送一些文件加上清楚起见,“他说。
尽管如此,现实是它归结为用户对威胁的看法,以及是否胜过便利性。正如Mitnick所指出的那样,“像Tor和VPN这样的工具可能是某些用户生死与死亡之间的差异。对于其他人来说,他们是一个增加的保护层,让我们在线上网的行动是私有的。“
霍尔认为乐观的余地有限。”通过以人为本的设计,专注于可用的安全机制,我们在这方面做得越来越好,”他说,但他补充说,“不过,我不确定它变得足够快。”
这个故事,“消费者不认为他们会被黑客被砍掉”最初是出版的方案 。