Beveiligingsexpert Bruce Schneier over wachtwoorden, privacy en vertrouwen

Lees meer over beveiliging en privacy in ons interview met beveiligingsexpert Bruce Schneier.

Lees meer over beveiliging en privacy in ons interview met beveiligingsexpert Bruce Schneier.
Advertentie

In de onderling verbonden wereld van vandaag is er maar één beveiligingsfout nodig om je hele wereld te laten instorten. Wie kan er beter om advies vragen dan beveiligingsexpert Bruce Schneier?

Als je zelfs een voorbijgaande interesse hebt in beveiligingsaangelegenheden Red Alert: 10 Computerbeveiligingsblogs die je vandaag moet volgen Red Alert: 10 Computerbeveiligingsblogs die je vandaag zou moeten volgen Veiligheid is een cruciaal onderdeel van computergebruik en je moet ernaar streven jezelf te onderwijzen en op de hoogte te blijven . Je zult deze tien beveiligingsblogs en de beveiligingsexperts die ze schrijven willen bekijken. Lees Meer, dan kom je zeker de geschriften tegen van Bruce Schneier, een wereldberoemde veiligheidsgoeroe die in verschillende regeringscomités heeft gediend, die voor het Congres is getuigd, en tot dusverre de auteur was van 12 boeken over beveiligingsaangelegenheden, evenals talloze essays en academische papers.

Na het horen van het nieuwste boek van Schneier, Carry On: Sound Advice van Schneier on Security, besloten we dat het tijd werd om contact op te nemen met Bruce voor een gedegen advies over een aantal van onze dringende privacy- en veiligheidsproblemen.

Bruce Schneier - Degelijk advies

In een mondiale wereld vol met internationale digitale spionage, malware en virusbedreigingen en anonieme hackers om elke hoek - het kan een zeer enge plek zijn voor iedereen om te navigeren.

Wees niet bang - want we hebben Bruce gevraagd om ons wat informatie te geven over enkele van de meest urgente beveiligingsproblemen. 5 Dingen die we hebben geleerd over online beveiliging in 2013 5 dingen die we hebben geleerd over online beveiliging in 2013 Bedreigingen zijn complexer geworden en, erger nog, zijn nu afkomstig van plaatsen die de meesten nooit zouden verwachten, zoals de regering. Hier zijn 5 harde lessen die we hebben geleerd over online beveiliging in 2013. Lees Meer vandaag. Na het lezen van dit interview, loop je tenminste weg met een groter bewustzijn van wat de bedreigingen werkelijk zijn en wat je echt kunt doen om jezelf te beschermen.

Beveiligingstheater begrijpen

bruce-schneier1 MUO: Hoe kan ik als consument 'beveiligingstheater' onderscheiden van een echt beveiligde app of service? (De term 'veiligheidstheater' is gekozen uit de term die u in eerdere geschriften hebt gebruikt over hoe apps en services beveiliging claimen als verkoopargument.)

Bruce: Dat kan je niet. In onze gespecialiseerde en technologische samenleving kun je op veel gebieden niet goed zeggen van slechte producten en diensten. Je kunt een structureel gezond vliegtuig niet zien aan een onveilig vliegtuig. Je kunt een goede ingenieur niet vertellen van een charlatan. Je kunt een goed farmaceutisch product niet vertellen aan slangolie. Dat is oké. In onze maatschappij vertrouwen we anderen om die beslissingen voor ons te nemen. We vertrouwen op licentie- en certificeringsprogramma's van overheden. We vertrouwen erop dat organisaties zoals de consumentenunie worden beoordeeld. We vertrouwen op de aanbevelingen van onze vrienden en collega's. We vertrouwen op experts Blijf veilig online: volg 10 experts op het gebied van computerbeveiliging op Twitter Blijf veilig online: volg 10 experts op het gebied van computerbeveiliging op Twitter Er zijn eenvoudige stappen die u kunt nemen om uzelf online te beschermen. Een firewall- en antivirussoftware gebruiken, beveiligde wachtwoorden maken en uw apparaten niet onbeheerd achterlaten; dit zijn allemaal absolute musts. Voorbij komt het naar beneden ... Lees meer.

Beveiliging is niet anders. Omdat we een beveiligde app of IT-service niet van een onveilige kunnen vertellen, moeten we op andere signalen vertrouwen. Natuurlijk is IT-beveiliging zo gecompliceerd en snel, dat die signalen ons routinematig falen. Maar dat is theorie. We beslissen wie we vertrouwen en accepteren de consequenties van dat vertrouwen.

De kunst is om goede vertrouwensmechanismen te creëren.

DIY beveiligingsaudits?

Ga verder MUO: Wat is een "code-audit" of een "beveiligingsaudit" en hoe werkt deze? Crypto.cat was open-source, waardoor sommige mensen vonden dat het veilig was, maar het bleek dat niemand het had gecontroleerd. Hoe kan ik deze audits vinden? Zijn er manieren om mijn eigen dagelijkse gebruik van hulpmiddelen te controleren, om er zeker van te zijn dat ik dingen gebruik die me echt beschermen?

Bruce: Een audit betekent wat je denkt dat het betekent: iemand anders heeft ernaar gekeken en het goed bevonden. (Of, op zijn minst, vond de slechte delen en vertelde iemand om ze te repareren.)

De volgende vragen liggen ook voor de hand: wie heeft het gecontroleerd, hoe uitgebreid was de audit en waarom zou u ze vertrouwen? Als u ooit een inspectie van het huis hebt gehad toen u een huis kocht, begrijpt u de problemen. In software zijn goede beveiligingsaudits uitgebreid en duur en - op het einde - geen garantie dat de software veilig is.

Audits kunnen alleen problemen vinden; ze kunnen nooit bewijzen dat er geen problemen zijn. U kunt uw eigen softwaretools zeker controleren, ervan uitgaande dat u over de vereiste kennis en ervaring, toegang tot de softwarecode en de tijd beschikt. Het is net alsof je je eigen arts of advocaat bent. Maar ik raad het niet aan.

Vlieg gewoon onder de radar?

MUO: Er is ook een idee dat als je zulke zeer veilige diensten of voorzorgsmaatregelen gebruikt, je op een of andere manier achterdochtig bent. Als dat idee zin heeft, moeten we ons dan minder concentreren op veiliger diensten en proberen we in plaats daarvan onder de radar te vliegen? Hoe zouden we dat doen? Welk soort gedrag wordt als verdacht beschouwd, dwz wat levert u een minderheidsrapport op? Wat is de beste tactiek om "laag te leggen"?

bruce-quote

Bruce: Het probleem met het idee om onder de radar te vliegen of laag te liggen, is dat het gebaseerd is op pre-computer-noties van de moeilijkheid iemand op te merken. Toen mensen degenen waren die het kijken deden, was het logisch om hun aandacht niet te trekken.

Maar computers zijn anders. Ze worden niet beperkt door menselijke noties van aandacht; ze kunnen iedereen tegelijkertijd bekijken. Dus hoewel het waar is dat het gebruik van encryptie iets is waar de NSA speciaal rekening mee houdt, betekent niet dat het gebruik ervan betekent dat u minder opvalt. De beste verdediging is om beveiligde services te gebruiken, zelfs als dit een rode vlag is. Zie het op deze manier: u biedt dekking voor degenen die codering nodig hebben om in leven te blijven.

Privacy en cryptografie

MUO: Vint Cerf zei dat privacy een moderne anomalie is en dat we in de toekomst geen redelijke verwachting voor privacy hebben. Ga je hiermee akkoord? Is privacy een moderne illusie / anomalie?

Bruce: Natuurlijk niet. Privacy is een fundamentele menselijke behoefte en iets dat heel reëel is. We zullen behoefte hebben aan privacy in onze samenlevingen zolang ze bestaan ​​uit mensen.

MUO: Zou u kunnen zeggen dat wij als samenleving zelfvoldaan zijn geworden met betrekking tot datacytografie?

Bruce: Zeker wij als ontwerpers en bouwers van IT-services zijn zelfgenoegzaam geworden over cryptografie en gegevensbeveiliging in het algemeen. We hebben een internet gebouwd dat kwetsbaar is voor massasurveillance, niet alleen door de NSA, maar door elke andere nationale inlichtingenorganisatie op de planeet, grote bedrijven en cybercriminelen. We hebben dit om verschillende redenen gedaan, variërend van "het is eenvoudiger op die manier" tot "we willen dingen gratis krijgen op internet." Maar we beginnen ons te realiseren dat de prijs die we betalen eigenlijk behoorlijk hoog is, dus hopelijk zullen we ons inspannen om dingen te veranderen.

Verbetering van uw beveiliging en privacy

MUO: Welke vorm / combinatie van wachtwoorden / autorisatie acht u het meest veilig? Welke "best practices" zou u aanraden voor het maken van een alfanumeriek wachtwoord?

Bruce: daar heb ik recent over geschreven. De details zijn de moeite van het lezen waard.

Opmerking van de auteur: Het gekoppelde artikel beschrijft uiteindelijk de "Schneier-regeling" die werkt voor het kiezen van veilige wachtwoorden. 7 manieren om wachtwoorden op te maken die beide veilig en gedenkwaardig zijn 7 manieren om wachtwoorden te maken die beide veilig en gedenkwaardig zijn Een ander wachtwoord voor elke dienst hebben is een must in de online wereld van vandaag, maar er is een vreselijke zwakte voor willekeurig gegenereerde wachtwoorden: het is onmogelijk om ze allemaal te onthouden. Maar hoe kunt u zich mogelijk herinneren ... Lees meer, eigenlijk geciteerd uit zijn eigen artikel uit 2008 over het onderwerp.

"Mijn advies is om een ​​zin te nemen en er een wachtwoord van te maken. Iets als 'Dit kleine varkentje ging naar de markt' kan 'tlpWENT2m' worden. Dat wachtwoord van negen tekens staat niet in iemands woordenboek. Gebruik deze natuurlijk niet, omdat ik erover heb geschreven. Kies je eigen zin - iets persoonlijks. "

MUO: Hoe kan de gemiddelde gebruiker het beste omgaan met het nieuws dat zijn account bij een wereldberoemde website, bank of multinational is aangetast (ik heb het hier over gegevensinbreuken van het type Adobe / LinkedIn) in plaats van een één bankrekening geschonden door kaartfraude)? Moeten ze hun bedrijf verplaatsen? Wat denk je dat het nodig zal maken om IT- / gegevensbeveiligingsafdelingen te benadrukken dat onmiddellijke, volledige openbaarmaking de beste PR is?

Bruce : Dit brengt ons terug naar de eerste vraag. We kunnen als klanten niet veel doen aan de beveiliging van onze gegevens wanneer deze in handen is van andere organisaties. We moeten gewoon vertrouwen hebben dat ze onze gegevens gaan beveiligen. En wanneer dat niet het geval is - wanneer er een grote inbreuk op de beveiliging is - is onze enige mogelijke reactie om onze gegevens ergens anders te verplaatsen.

Maar 1) we weten niet wie veiliger is, en 2) we hebben geen garantie dat onze gegevens zullen worden gewist als we verhuizen. De enige echte oplossing hier is regulering. Zoals zoveel gebieden waar we niet over de expertise beschikken om te evalueren en die we moeten vertrouwen, verwachten we van de overheid dat ze instapt en een betrouwbaar proces biedt waarop we kunnen vertrouwen.

In IT zal het wetgeving vereisen om ervoor te zorgen dat bedrijven onze gegevens adequaat beveiligen en ons op de hoogte brengen wanneer er beveiligingsinbreuken zijn.

Conclusie

Het is vanzelfsprekend dat het een eer was om buiten te zitten en (virtueel) deze zaken met Bruce Schneier te bespreken. Als je nog meer inzicht wilt van Bruce, lees dan vooral zijn nieuwste boek, Carry On, waarin Bruce wordt beloofd belangrijke beveiligingsproblemen aan te pakken zoals de Boston Marathon-bombardementen, NSA-surveillance en Chinese cyberaanvallen. Je kunt ook regelmatige doses Bruce's inzichten krijgen op zijn blog.

Zoals je kunt zien aan de antwoorden hierboven, is veilig blijven in een onveilige wereld niet eenvoudig, maar met de juiste tools, zorgvuldig kiezen welke bedrijven en diensten je besluit te "vertrouwen", en gezond verstand gebruiken met je wachtwoorden is een zeer goed begin.

In this article