Tech
专家和小白用户的在线安全实践对比
[-]
# 来自谷歌的新研究表明你一直都做错了:
今天你在几秒钟内能找到的在线安全技巧比你一辈子能用到的还多。虽然这堆最优实践很全面,却并不总是有用;有时候很难知道应该优先对待哪一点,以及为什么。
诸如“人们为什么作出一些安全选择(以及不选择其他的)?”以及“安全社区交流最优实践有多大效果?”这些问题是一篇新论文的中心,它题为《“……没人能黑入我的头脑”:比较专家和小白用户的安全实践》,我们本周将在《可用隐私和安全研讨会》上发表之。
这篇论文勾勒了两次调研结果的大纲:一次是231名安全专家,另一次是294名非专家小白网络用户。我们问两组人他们做什么来保持在线安全。我们想比较和对比来自两组的回复,并更好地理解其差别以及为什么会存在这样的差别。
专家和小白用户的前五项安全实践
根据我们的研究,这里是专家和小白用户的最优先安全实践,我们要其每个参与者列出三种安全实践:
[-]
共同点:小心的密码管理
很明显,小心的密码管理是两组的共同优先。但是,他们在实施途径上大有区别。
安全专家们重度依赖密码管理器:在一个地方集中管理和保护一个用户所有密码的服务。回答在至少一个用户帐号上使用密码管理器的专家比小白用户多三倍。像一个专家所说:“因为密码管理器使得即高强度又独特的密码成为可能,他改变了整个计算条件。”
另一个方面,只有24%的小白用户回报在至少一个帐号上使用密码管理器,与专家的73%形成对比。我们发现表明这是因为缺乏对密码管理器益处的教育和/或对这些管理软件表现出的缺乏信任。“因为没人能黑入我的头脑,我尝试记住自己的密码”,一个非专告诉我们。
关键区别:软件更新和反病毒软件
尽管有些重叠,专家和小白用户的最优先回答显著不同。
35%的专家和仅仅2%的小白用户表示安装软件更新是他们的最优先安全实践。专家们认识到更新的好处——“补丁、补丁、补补丁。”一名专家这样说道——而小白用户则不但不清楚这些,反而顾虑软件更新的潜在风险。一个小白用户告诉我们:“我不知道更新软件是不是总是安全的,如果你下到了恶意软件怎么办?”以及“我的观点里自动软件更新是不安全的,因为它能被滥用来更新恶意软件。”
与此同时,42%小白用户和7%专家说跑杀毒软件是他们保持线上安全性会做的三件大事之一。专家认可杀毒软件的用处,但表示顾虑它可能给用户带来虚假安全感,因为这不是银弹解决方案。
下一步
在近期内,我们鼓励每个人都阅读论文全文,借鉴专家们的最优先实践,另外也去查看我们的谷歌信息安全技巧。
更广泛的,我们的发现突出了对基本在线安全实践的基础性误解。比如,软件更新是在线安全的安全带;它们使你更安全,句号。然而但是,很多小白用户不仅忽视这些最佳时间,还错误地担心软件更新是安全风险。
不管是专家还是小白用户,两个列表中的实践都没有会使用户更不安全的。但是,安全最优实践如何排定优先级并向绝大多数(非专家)用户沟通方面,明显还有很大提高余地。我们期待着应对这一挑战。
