Por favor, no cambiar su contraseña

Tenías razón: Es un desperdicio de su tiempo. Un estudio señala que muchos consejos de seguridad informática no es digno de seguir.

Para seguir leyendo esta historia, introduzca su contraseña. Si usted no tiene una contraseña, por favor cree una. Debe contener un mínimo de ocho caracteres, incluyendo letras mayúsculas y minúsculas y el número uno. Esto es para su propio bien.

Nada de eso, por supuesto, pero ayuda a ilustrar un punto: Usted necesitará una contraseña de computación de hoy, tal vez una media docena o más - los secretos signo-ins que sirven como centinelas para todo, desde Amazonascarros de la compra para trabajar archivos en línea, cuentas bancarias. Justo cuando todos ellos han resuelto, aparece otra "urgente" directiva del banco o del departamento de TI - tiempo para restablecer los códigos, por el bien de la seguridad. Y la más reciente línea de log-ins que he inventado, no durará mucho, tampoco. Algunos podrían permanecer temporalmente en su cabeza, otros se anotan en trozos de papel y metido en una cartera. Unos pocos pudieron ser grabadas para el monitor del ordenador a la vista (o son los que están a la del año último lote? ¿Quién puede recordar?).

Ahora, un estudio ha concluido que muchos de nosotros hemos sospechado desde hace tiempo: Muchas de estas medidas de seguridad irritantes son una pérdida de tiempo. El estudio, realizado por un investigador superior en Microsoft, encontró que las instrucciones que pretenden nos librará de los ataques informáticos a menudo costosos, exactamente un precio mucho más pronunciada en forma de esfuerzo del usuario y el tiempo invertido.

"La mayoría de consejos de seguridad, simplemente ofrece un coste de la mala-beneficio compensación a los usuarios", escribió su autor, Cormac Herley, investigador principal de Microsoft Research.

Particularmente dudosas son las normas estándar para la creación y protección de contraseñas de sitios web, Herley encontrado. Por ejemplo, los usuarios se les advierte que cambiar las contraseñas con regularidad, pero hacer de nuevo ellos no es una medida eficaz de prevención contra la infiltración en línea a menos que el atacante cibernético (o un colega del mal) que le roba su signo-en una secuencia espera fue utilizado hasta después de haber cambiado a una nueva, Herley escribió. Eso es tan poco probable como un ladrón levantar una llave de la casa y luego esperar hasta que el bloqueo se cambia antes de pegar en la puerta.

Herley también examinó la validez de otros consejos para bloquear las amenazas de seguridad, incluyendo formas de reconocer correos electrónicos de phishing (mensajes falsos objeto que los beneficiarios a renunciar a la información personal como números de tarjetas de crédito) y cómo lidiar con los errores de certificado, los imposibles a comprender los mensajes de advertencia. Al igual que con las contraseñas, los beneficios de estos procedimientos suelen ser compensados por lo que los usuarios deben hacer para llevarlos a cabo, dijo.

No es que Herley cree que debemos renunciar a la protección de nuestros ordenadores de ser secuestrado o está dañado, simplemente porque las medidas de seguridad consumen tiempo. El problema, dijo, es que los usuarios se les pide que adoptar muchas medidas también, y más se están agregando constantemente surgen nuevas amenazas o evolucionar. profesionales de la seguridad en general han asumido que los usuarios no pueden tener mucho conocimiento también en la lucha contra la ciberdelincuencia. Pero eso no tiene en cuenta una parte crucial de la ecuación, de acuerdo a Herley: el valor de "tiempo de los usuarios.

Un montón de consejos sólo tiene sentido si pensamos en el tiempo el usuario no tiene ningún valor, dijo. El estudio fue presentado por primera vez por Herley en un taller de seguridad en la Universidad de Oxford el pasado otoño, y comenzó a generar un debate más amplio mes pasado después de un ensayo sobre el tema apareció en TechRepublic, un sitio web popular tecnología.

En el documento, Herley describe un análisis económico indudablemente crudo para determinar el valor del tiempo del usuario. Calculó que si los aproximadamente 200 millones de adultos EE.UU. que visiten el sitio ganado dos veces el salario mínimo, un minuto de su tiempo cada día es igual a unos $ 16 mil millones al año. Por lo tanto, para cualquier medida de seguridad para justificarse, cada minuto los usuarios se les pide que gastaban en ella todos los días debe reducir el daño que están expuestos a en $ 16 mil millones anuales.

Es un gran obstáculo para borrar. papel Herley da "usuarios normales una voz, dijo Michael P. Kassner, un escritor de tecnología e informática veterano que escribió la pieza TechRepublic. Durante demasiado tiempo, los usuarios han pedido que siga las instrucciones de seguridad sin que nos digan por qué vale la pena el tiempo invertido. He sido un defensor de dar prioridad las medidas de seguridad, dijo Kassner. Todo el propósito de que es hacer la vida más fácil.

La comunidad de seguridad informática ha desconcertado de largo sobre las razones por lo que los usuarios no llegan a complemento a la atención cuando reciba noticias sobre las últimas amenazas, como virus, gusanos, troyanos, malware y spyware.

En incontables conferencias y seminarios, los expertos han pedido constantemente que más educación y de divulgación como la respuesta a la apatía de usuario o la ignorancia. Pero la investigación de Herley y otros está causando a muchos a darse cuenta de la mayor parte de la culpa en caso de incumplimiento no se apoya con los usuarios, pero con los propios expertos - los profesionales no son capaces de hacer un caso fuerte para todas sus recomendaciones.

Algunos consejos son excelentes, por supuesto. Pero en lugar de trabajar para dar prioridad a lo que los esfuerzos sean efectivos, el gobierno y funcionarios de seguridad de la industria han recurrido a las declaraciones negrita dramática sobre los horrores de contraseñas pobres y otros lapsos de seguridad, abrumadora del público. Por ejemplo, la página web del gobierno federal para consejos de seguridad informática, www.us-cert.gov, incluye más de 50 categorías en el apartado de "Consejos de Seguridad Cibernética." Cada categoría lleva a conjuntos complejos de instrucciones.

Es agradable ver a la industria a partir de lidiar con estos temas", dijo Bruce Schneier, autor de Secretos y mentiras, un libro sobre seguridad informática y de red. En su blog el año pasado, Schneier recordó una conferencia de seguridad en la que se desconcertó un altavoz por el fracaso de los trabajadores en su empresa a que se adhieran a las políticas estrictas equipo. Schneier especulado que los empleados sabían después de las políticas que cortar en su tiempo de trabajo. Ellos entendieron mejor que el departamento de TI que los riesgos de no completar sus asignaciones superan con creces las consecuencias de ignorar sin especificar una regla de seguridad o tres.

La gente hace lo que tiene sentido y no hacen lo que no", dijo. La pronta a ser más riguroso sobre la protección de la computadora, dijo, "¿Quieres estudios ya existentes, los datos reales.

Tomado del Boston Globe