Come convinco gli altri dell'importanza della gestione delle password?

7

Mi sono appena sposato, e io e mia moglie siamo nel bel mezzo di combinare le finanze, ecc.

Abbiamo creato un conto bancario congiunto e la prima cosa che faccio durante la fase di configurazione dell'account è generare una password di 16 caratteri con LastPass.

No, don't do that! How can I access it if you use LastPass? Just make it something simple to remember!

Abbiamo compromesso su questo - ho generato una password che entrambi abbiamo concordato sul fatto che è ragionevolmente lunga con un mix di personaggi, eppure è qualcosa che lei riesce a ricordare in cima alla sua testa. (Non importa che con LastPass puoi condividere password con vari account, senza che nessuno dei due sappia nemmeno la password!)

Mia moglie si inserisce sicuramente nella categoria "utente medio" in contrapposizione alla categoria "utente avanzato". Sono stato in grado di convincerla a attivare l'autenticazione a due fattori ogni volta che è possibile, ma per la maggior parte non è disposta a scambiare convenienza per sicurezza.

Ovviamente, non ha bisogno di essere in questo modo. Uso LastPass religiosamente e lei mi vede usarlo regolarmente per generare e usare password. Sono al suo orecchio abbastanza regolarmente sull'importanza della sicurezza delle password (vedi varie istituzioni che vengono hackerate - che non credo davvero fossero sofisticate, solo una scarsissima infrastruttura IT a causa del pensiero del management che l'IT non è "valore aggiunto"), ecc. Lei (e molti altri miei amici) sono abbastanza contenti di avere le 4 password standard per tutti i loro siti web. Non vedono davvero quale sia il significato di avere password più difficili. Per mia moglie, è "Creerò LastPass un'altra volta, non è veramente così importante comunque." Penso che tutti su questo SE penserebbero che è veramente così importante.

Non capisco davvero quale sia il problema con l'utilizzo di un gestore di password, ma poi è ancora così ovvio per me che nessuno dovrebbe andarsene di casa senza uno. In che modo la gente che ha familiarità con il computer educa / convince / eccetera le persone non esperte del computer che ci preoccupano di prendere sul serio la propria sicurezza?

    
posta Dang Khoa 28.04.2015 - 06:15
fonte

3 risposte

6

Tua moglie non usa LastPass perché ha cose migliori da fare, non perché non sia in grado di realizzare la sua utilità.

Penseresti che una volta che le persone comprenderanno correttamente i rischi a cui sono esposte (che richiede una seria istruzione), inizierebbero automaticamente a rispettare qualsiasi consiglio di sicurezza venga loro lanciato. Bene, questa ipotesi è stata smentita più volte. Vedi Herley's "Così lungo e non grazie per le esternalità" , che contiene un paio di esempi di sicurezza inutile e Bilancio di conformità di Beautement e Sasse per una teoria generale di come si comportano gli umani per quanto riguarda la sicurezza.

In economia della sicurezza delle informazioni, ci sono diversi esempi di persone che assumono volontariamente dei rischi perché risparmiano il tempo di cui hanno bisogno per altre attività o perché percepiscono effetti collaterali potenzialmente negativi da rispettare (come bloccato fuori, o imbarazzato di fronte a qualcun altro).

Quindi, piuttosto che insistere affinché tua moglie faccia ciò che pensi sia buono per lei, identifica i suoi bisogni, le sue priorità, le sue preoccupazioni e i suoi problemi reali. Quindi, distribuisci uno strumento che funzioni per lei (se ce ne sono) e lavora con lei per assicurarsi che sappia come usarla e ne percepisca l'utilità e le limitazioni in modo appropriato.

Ad esempio, non utilizzo gestori di password perché utilizzo alcuni dei miei account su così tanti dispositivi che ho per conoscere le password, perché ho alcune password che devono essere conformi a tali politiche stupide e essere cambiati ogni giorno (e io odio dover risincronizzare le mie password su ogni dispositivo), non mi fido delle password in linea memorizza il minimo nel mondo, e perché alcuni dei miei dispositivi sono mirati abbastanza spesso che non lo faccio Voglio che memorizzino molte password. La maggior parte di questi problemi che ho sono probabilmente indirizzabili in un modo o nell'altro, ma non voglio perdere una giornata di lavoro impostando processi che vanno contro le mie abitudini. Eppure, sono un ingegnere della sicurezza. In conclusione, la maggior parte degli utenti preferirà l'appropriatezza e il valore alla sicurezza nella maggior parte delle situazioni decisionali.

    
risposta data 28.04.2015 - 10:25
fonte
0

Il tuo problema è più una questione di consapevolezza e pratica. Il fatto che, come specialisti della sicurezza, prendiamo molto sul serio il nostro lavoro (che è la cosa giusta) e "aspettiamo" che altri prendano sul serio anche la sicurezza. Dal momento che sei più vicino al mondo del "ciberspazio cattivo", sei ben consapevole dei controlli che devono essere tenuti in essere per prevenirli. D'altro canto, la tua metà migliore non è consapevole degli effetti delle cattive pratiche di sicurezza. Ho i seguenti suggerimenti per te:

  • Dal momento che entrambi avete concordato una password, lascia che sia. Assicurati di cambiarlo ogni 90 giorni. È possibile ruotare alcuni caratteri / parole / numeri / speciali qui e là e mantenere lo stesso schema di base. Sono sicuro che qualsiasi persona ragionevole sarà d'accordo su di esso. : D
  • Credo che la sicurezza delle informazioni sia più in controllo dell '"utente" rispetto ai "meccanismi".
  • L'uso di Password Manager è, come hai giustamente detto, più di una cosa "power user". L '"utente medio" lo vede come scomodo e più di una seccatura piuttosto che "qualcosa per tenerli al sicuro". Rispetta questo fatto. Sono sicuro che nei tuoi lunghi e felici anni di matrimonio, diventerà anche un "utente esperto". :)

Spero che aiuti. E congratulazioni. :)

    
risposta data 28.04.2015 - 09:58
fonte
0

Paura

Sì, sembra terribile, ma è davvero la stessa cosa che ti fa scegliere password sicure. Paura di qualcuno che ti ruba i soldi dalla tua banca, paura di qualcuno che acceda alle tue e-mail private, ecc Non è veramente folle desiderare educarla sulla sua miopia (senza offesa, ma chiamiamola per quello che è).

Probabilmente dovresti menzionare quanto siano facilmente credibili le password. Articoli di persone con cui può relazionarsi (ad es. Mogli sposate di classe media, non-in-tutto-oscuri) che perdono informazioni sensibili / foto-vita / risparmi, ecc. Probabilmente la aiuteranno a ripensare un po 'la sua posizione.

    
risposta data 28.04.2015 - 10:16
fonte

Leggi altre domande sui tag