En indsigtsfuld, sjove og tankevækkende papir ved Cormac Herley hos Microsoft Research, \ "So Long, og nr. Tak for Eksternaliteter: Den Rationel Afslag på sikkerhedsrådgivning ved Users \" (PDF), ser på, hvorfor folk ignorerer sikkerhedsrådgivning .
Den overraskende konklusion er, at nogle sikkerhedsrådgivning, vi giver til folk - såsom inspicere webadresser omhyggeligt, vær opmærksom på https certifikat advarsler, og bruge komplicerede adgangskoder, som hyppigt ændres - gør mere skade end gavn. Det faktisk koster nogen langt mere for at følge de råd, end den fordel, at personen skal forvente at få.
Udvidet uddrag fra papiret: Det er ofte, at brugerne er håbløst dovne og umotiverede om sikkerhed ... [Dette] er helt rationel fra et økonomisk perspektiv ... De fleste sikkerhedsrådgivning blot tilbyder en dårlig cost-benefit afvejning til brugerne og afvises.
[Sikkerhed] råd tilbud til skjold [folk] fra de direkte omkostninger ved angreb, men byrder dem med øget indirekte omkostninger ... Da repressalier er sjælden, og pålægger en engangs-omkostninger, mens sikkerhedsrådgivning gælder for alle, og er en løbende udgift, byrden ender med at blive større end den, der er forårsaget af den dårlige det adresser.
For at gøre dette konkrete, mener en udnytte påvirker 1% af brugerne om året, og de spilder 10 timer rydde op, når de bliver ofre. Enhver sikkerhedsrådgivning skal placere en daglig belastning på højst 10 / (365 * 100) timer eller 0,98 sekunder per bruger for at mindske snarere end øge mængden af brugeren forbrugt tid. Dette genereret den dybe ironi, at meget sikkerhedsrådgivning ... gør mere skade end gavn.
Vi anslår amerikanske årlige phishing tab på 60 millioner dollars ... Selv for mindsteløn rådgivning, der forbruger mere end ... 2,6 minutter om året til følge, er urentabel [for brugere] fra en cost-benefit synspunkt ... Banker [også] har mere at frygte fra ... indirekte tab såsom omkostninger til support ... end direkte tab. For eksempel ... en agent-assisteret adgangskode nulstilles ved 10% af deres brugere ville koste 48 millioner dollars, let Svage Wells Fargo's andel af det samlede 60 millioner dollars i phishing tab.
Brugerne er faktisk uddannet til at ignorere certifikat advarsler ved at se dem flere gange, når der ikke er nogen reel sikkerhedstrussel .... Så vidt vi kan afgøre, er der ingen tegn på en enkelt bruger bliver reddet fra skade ved et certifikat fejl, hvor som helst, nogensinde ... Tanken om, at certifikatet fejl er et nyttigt redskab til at beskytte [users] mod overgreb ... er helt abstrakt, og ikke evidensbaseret. Den indsats, vi beder [users] er reel, mens den skade, vi advarer dem om, er teoretisk.
Rådgivning næsten altid ignorerer udgifterne til brugeren indsats ... Den væsentligste årsag sikkerhedsrådgivning ignoreres, er, at det gør en enorm fejltagelse: den behandler som fri en ressource, der er faktisk værd 2.600 millioner dollars i timen ... Rådgivning-givere og politisk mandaters efterspørgslen langt større indsats end nogen bruger kan give .... Bruger uddannelse er en udgift for hele befolkningen, samtidig med fordel kun til den del, der falder offer ... Indvirkninger af en eventuel sikkerhedsrådgivning skal stå i forhold til de ofre sats .... [Lest] i forsøget på at forsvare sig mod alt, hvad vi ender forsvare noget.
Det er ikke brugere, der har brug for at blive bedre uddannet om risikoen for forskellige angreb, men sikkerheden samfund. Sikkerhedsrådgivning blot tilbyder en dårlig cost-benefit afvejning for brugerne .... Vi skal respektere brugernes tid og kræfter. Visning af brugerens tid som en værdi 2.600 millioner dollars i timen er et bedre udgangspunkt end værdiansættelse det på nul ... Når vi overdriver alle farer vi simpelthen uddanne brugerne til at ignorere us.The papir har også en stor diskussion af password politikker, og hvordan de ser ud til at virke mod hensigten. Når systemadministratorer kræver adgangskoder med underlige specialtegn end skal ændres regelmæssigt, de gør adgangskoder svære at huske og pålægge en væsentlig byrde for brugerne, men nyder godt af denne politik synes at være minimal.
[Paper findes via Bruce Schneier]
