El experto en seguridad bruce schneier en contraseñas, privacidad y confianza
En el mundo interconectado de hoy en día, todo lo que necesita es un error de seguridad para que todo su mundo derrumbarse. ¿Quién mejor para acudir en busca de consejo que el experto en seguridad Bruce Schneier?
Si usted tiene incluso un interés pasajero en asuntos de seguridad, entonces usted sin duda viene a través de los escritos de Bruce Schneier, un gurú de la seguridad de renombre mundial que ha sido miembro de numerosos comités gubernamentales, testificó ante el Congreso, y es el autor de 12 libros sobre cuestiones de seguridad hasta el momento, así como un sinnúmero de ensayos y trabajos académicos.Alerta roja: 10 Equipos de Seguridad blogs Puedes seguirnos HoyAlerta roja: 10 Equipos de Seguridad blogs Puedes seguirnos HoyLa seguridad es una parte crucial de la informática, y usted debe esforzarse para educarse y mantenerse al día. Usted querrá echa un vistazo a estos diez blogs de seguridad y los expertos en seguridad que los escriben.Lee mas
Después de escuchar sobre el último libro de Schneier, Continúe: Sound Advice de Schneier sobre la Seguridad, decidimos que ya era hora de llegar a Bruce para obtener un buen consejo en relación con algunos de nuestros propios apremiantes preocupaciones de seguridad y privacidad.
Bruce Schneier - Sound Advice
En un mundo global lleno de espionaje digital, malware y virus amenazas internacionales, y los hackers anónimos en cada esquina - que puede ser un lugar muy aterrador para cualquier persona para navegar.
No tengas miedo - nos preguntamos por Bruce que nos proporcione alguna orientación acerca de algunos de los más urgentes temas de seguridad hoy. Después de leer esta entrevista, usted por lo menos a pie con una mayor conciencia de lo que realmente son las amenazas, y lo que realmente puede hacer para protegerse a sí mismo.5 cosas que aprendimos sobre la seguridad en línea en 20135 cosas que aprendimos sobre la seguridad en línea en 2013Las amenazas se han vuelto más complejas y, peor aún, están llegando a lugares que la mayoría nunca esperaría - como el gobierno. Aquí hay 5 duras lecciones que hemos aprendido acerca de la seguridad en línea en 2013.Lee mas
La comprensión de Teatro de Seguridad
MUO: Como consumidor, ¿cómo puedo distinguir “teatro de seguridad” de una aplicación o servicio realmente seguro? (El término “teatro de seguridad” fue elegido entre el término se acuñó en sus escritos anteriores sobre cómo las aplicaciones y servicios de seguridad afirman como punto de venta).
Bruce: No se puede. En nuestra sociedad especializada y tecnológica, no se puede distinguir el bien del mal productos y servicios en muchas áreas. No se puede saber un avión en buenas condiciones estructurales a partir de uno inseguro. No se puede decir a un buen ingeniero de un charlatán. No se puede saber un buen producto farmacéutico a partir de aceite de serpiente. Eso está bien, sin embargo. En nuestra sociedad, confiamos en los demás para hacer esas determinaciones para nosotros. Confiamos en los programas de licencia y certificación del gobierno. Confiamos en la revisión de organizaciones como la Unión de Consumidores. Confiamos en las recomendaciones de nuestros amigos y colegas. Nosotros expertos en fideicomisos.Mantenerse seguro en línea: 10 Siga expertos en seguridad informática en Twitter!Mantenerse seguro en línea: 10 Siga expertos en seguridad informática en Twitter!Hay pasos sencillos que puede tomar para protegerse en línea. El uso de un software antivirus y cortafuegos, la creación de contraseñas seguras, no dejando sus dispositivos unattended- estas son todas las necesidades absolutas. Más allá de eso se trata ...Lee mas
Seguridad no es diferente. Porque no podemos contar una aplicación segura o servicio de TI desde una no segura, tenemos que depender de otras señales. Por supuesto, la seguridad es tan complicado y rápido movimiento que esas señales rutinariamente nos fallan. Pero eso es la teoría. Decidimos quién confiamos, y luego aceptamos las consecuencias de esa confianza.
El truco es crear buenos mecanismos de confianza.
DIY auditorías de seguridad?
MUO: ¿Qué es una “auditoría de código” o una “auditoría de seguridad” y cómo funciona? Crypto.cat era de código abierto, lo que hizo que algunas personas sienten que era seguro, pero resultó que nadie se auditado. ¿Cómo puedo encontrar estas auditorías? ¿Hay maneras en que podría auditar mi propio uso del día a día de las herramientas, para asegurarse de que estoy usando cosas que realmente me protege?
Bruce: Una auditoría significa lo que creo que significa: alguien más lo miraba, y lo calificó buena. (O, al menos, encontrar las partes malas y le dijo a alguien para solucionarlos.)
Las siguientes preguntas son también evidentes: ¿quién audita ella, qué tan extensa fue la auditoría, y por qué debería confiar en ellos? Si alguna vez ha tenido una inspección de la casa cuando compró una casa, entender los problemas. En el software, buenas auditorías de seguridad son integrales y caro y - al final - hay garantía de que el software es seguro.
Auditorías sólo pueden encontrar problemas-nunca pueden probar la ausencia de problemas. Definitivamente, usted puede auditar sus propias herramientas de software, suponiendo que tiene los conocimientos necesarios y la experiencia, el acceso al código de software, y el tiempo. Es como ser su propio médico o abogado. Pero yo no lo recomiendo.
Sólo volar bajo el radar?
MUO: También existe la idea de que si se utiliza este tipo de servicios de alta seguridad o precauciones, estás actuando de alguna manera sospechosa. Si esa idea tiene mérito, ¿hay que centrarse menos en servicios más seguros, y en lugar de tratar de volar bajo el radar? ¿Cómo podemos hacer eso? ¿Qué tipo de comportamiento es considerado sospechoso, es decir, lo que se consigue un informe de la minoría? ¿Cuál es la mejor táctica de “perfil bajo”?
Bruce: El problema con la idea de volar bajo el radar, o un perfil bajo, es que se basa en nociones pre-informáticos de la dificultad para darse cuenta de alguien. Cuando las personas eran los que hacen la observación, no tenía sentido para atraer su atención.
Pero las computadoras son diferentes. No están limitados por las nociones humanas de atención- que pueden ver a todos al mismo tiempo. Así que si bien puede ser cierto que el uso de la encriptación es algo que el NSA toma nota especial de no usarlo no significa que va a notado menos. La mejor defensa es utilizar servicios seguros, aunque podría ser una señal de alerta. Piénsalo de esta manera: usted está proporcionando cobertura para aquellos que necesitan de cifrado para mantenerse con vida.
Privacidad y criptografía
MUO: Vint Cerf dijo que la privacidad es una anomalía moderna, y que no tienen una expectativa razonable de privacidad en el futuro. ¿Estás de acuerdo con esto? Es una ilusión privacidad moderna / anomalía?
Bruce: Por supuesto no. La privacidad es una necesidad humana fundamental, y algo que es muy real. Vamos a tener una necesidad de privacidad en nuestras sociedades, siempre y cuando que están formadas por personas.
MUO: ¿Diría que, como sociedad, hemos vuelto complacientes respecto a la criptografía de datos?
Bruce: Ciertamente, como diseñadores y constructores de los servicios de TI se han vuelto complacientes sobre criptografía y seguridad de los datos en general. Hemos construido una Internet que es vulnerable a la vigilancia masiva, no sólo por la NSA sino de toda otra organización nacional de inteligencia en el planeta, las grandes corporaciones, y los cibercriminales. Hemos hecho esto por una variedad de razones, que van desde “es más fácil de esa manera” a “que nos gusta hacer las cosas de forma gratuita en Internet.” Pero estamos empezando a darse cuenta de que el precio que estamos pagando es realmente muy alta, así que espero que vamos a hacer un esfuerzo por cambiar las cosas.
La mejora de su seguridad y privacidad
MUO: ¿Qué forma / combinación de contraseñas / autorización, ¿considera que el más seguro? Lo que “las mejores prácticas” recomendarías para crear una contraseña alfanumérica?
Bruce: Escribí sobre esto recientemente. Los detalles son vale la pena leer.
Nota del autor: El artículo enlazado con el tiempo se describe el “Esquema Schneier” que trabaja para elegir contraseñas seguras, de hecho citado de su artículo de 2008 sobre el tema.7 maneras para compensar las contraseñas que son a la vez seguro & Memorable7 maneras para compensar las contraseñas que son a la vez seguro & MemorableTener una contraseña diferente para cada servicio es una necesidad en el mundo online de hoy en día, pero hay una terrible debilidad de las contraseñas generadas al azar: es imposible recordarlos todos. Pero ¿cómo es posible recordar ...Lee mas
“Mi consejo es tomar una frase y convertirla en una contraseña. Algo así como ‘Este cerdito fue al mercado` podría convertirse en‘tlpWENT2m`. Esa contraseña de nueve caracteres no estará en el diccionario de nadie. Por supuesto, no utilice éste, porque yo he escrito sobre ello. Elija su propia sentencia de algo personal “.
MUO: ¿Cómo puede la media mejor trato de usuario / hacer frente a la noticia de que su cuenta con un famoso sitio web, banco o empresa multinacional se ha visto comprometida (Estoy hablando de las violaciones de datos del tipo Adobe / LinkedIn aquí, en lugar de un solo banco cuenta violado a través del fraude de tarjetas)? En caso de que mover su negocio? ¿Qué opinas que se necesita para destacar a los departamentos de TI de seguridad / de datos que la divulgación inmediata, completa es la mejor PR?
Bruce: Esto nos lleva de nuevo a la primera pregunta. No hay mucho que ya que los clientes pueden hacer por la seguridad de nuestros datos cuando está en manos de otras organizaciones. Simplemente tenemos que confiar en que van a asegurar nuestros datos. Y cuando no lo hacen - cuando hay una gran brecha en la seguridad - nuestra única respuesta posible es mover nuestros datos en otro lugar.
Pero 1) no sabemos que es más seguro, y 2) no tenemos ninguna garantía de que nuestros datos se borrarán cuando nos movemos. La única solución real es la regulación. Al igual que muchas áreas en las que no tenemos la experiencia necesaria para evaluar, y están obligados a confiar, esperamos que el gobierno para intervenir y proporcionar un proceso confiable que podemos confiar.
En ella, se necesitará legislación para asegurar que las empresas asegurar nuestros datos de manera adecuada e informarnos cuando hay violaciones de seguridad.
Conclusión
No hace falta decir que era un honor para sentarse y (virtualmente) discutir estos temas con Bruce Schneier. Si usted está buscando una visión aún más de Bruce, por todos los medios asegurarse de revisar su último libro, seguir adelante, que promete toma de Bruce en temas de seguridad importantes hoy como el bombardeo del maratón de Boston, vigilancia de la NSA y los ataques cibernéticos chinos. También puede obtener dosis regulares de la visión de Bruce en su blog.
Como se puede deducir de las respuestas anteriores, mantenerse seguro en un mundo inseguro no es precisamente fácil, pero el uso de las herramientas adecuadas, eligiendo cuidadosamente lo que las empresas y servicios que deciden “confianza”, y usar el sentido común con sus contraseñas es una muy buen comienzo.