用户并不笨：信息安全中的八大陷阱

本文是对RSAC2022报告“Users Are Not Stupid: Eight Cybersecurity Pitfalls Overturned”解读。信息安全不是产品的堆积，信息安全是一个过程，人是信息安全过程中重要的一环，这一点早已经是业界共识。甚至，有的认为人是信息安全中最薄弱的一环。人们通常讲人的重要性时，大多从安全管理、安全意识的角度谈人的重要性。在这种情况下，侧重点在人作为行为主体，对信息安全的作用；要求人/用户要如何如何做，才能保证安全。然而，用户的认知水平，用户的时间、精力、能力是有限的，用户对安全的需求也是不一样的，一味地对用户高要求，是不可行地，是注定要失败的。业界提出了实用安全、信息安全心理学、信息安全经济学等概念，从不同的角度分析了一些信息安全措施、流程等失败的原因，以及更好地实现信息安全的方法等。实用安全，主要研究产品、技术、流程等如何与用户尽可能地匹配，使得用户不用付出太多时间、精力、学习等，就可实现安全目的。自2013年第一届“信息安全中人的因素”国际会议（First International Conference on Human Aspects of Information Security, Privacy and Trust）以来，相关国际会议已召开多届。这方面的研究大多是针对某个点的，而演讲者的本次报告，则试图从“面”的角度以及部分 “根源”的角度探讨一些较为普遍的实用安全问题，具有较高的参考价值。演讲者Julie Haney来自于美国国家标准与技术研究所NIST，并领导了一个实用安全研究项目。关于“usable security”，由于研究的都是实用中的问题，没有太多高深的理论（当然，我们认为这比高深的理论更重要），也就难以发表学术水平高的论文，在论文导向的国内学术界鲜有研究。我们查阅了多个学术数据库，未见合适的中文翻译，我们认为将“usable security”翻译成“实用安全”会比较恰当，纯粹按字面翻译为“可用安全”或“使用安全”都不合适。

一、引子 人的因素及实用安全

这里人的因素指的是影响人们安全行为和他们采用安全解决方案的社会因素和个人因素。

可用性：一个系统、产品或服务能够使特定的用户在特定的上下文下有效性、效率和满意度实现特定目标的程度。

实用安全：安全必须被从非技术用户到专家和系统管理员的人员使用。此外，系统必须在维护安全性的同时保持可用性。在缺乏实用安全的情况下，最终就达不到有效的安全。当安全变得不实用，当没有考虑到人的因素时，可能会真的出问题。

既然人的因素如此重要，为什么它经常被忽视呢？主要有如下四个方面的原因：

首先，从本质上讲，安全一开始只是一个以技术为中心的领域。

其二，许多安全专业人员没有接受过任何关于人为因素的培训，正规教育中没有这部分，在很多情况下，继续教育也没有这部分内容。

其三，以人为中心的方法可能会被视为资源密集型，以及被当作高效部署安全的障碍。

其四，安全专家可能对人的因素有一些误解，这将是本报告的重点。

二、陷阱与策略

2.1

陷阱#1：不能识别与安全相关的所有用户

当我们提到用户时，通常只想到“最终用户”。事实上，除了最终用户，系统管理员、系统开发者都是用户。我们倾向于把这些用户放在一起而不考虑他们之间的任何差异。事实上，不同的用户，对安全的需求以及理解都是不同的。例如，在一个组织机构中，可能会有不同业务部门的人，根据他们的业务部门和他们所做的工作，他们会有非常不同的安全动机、需求和行为。

2.2

陷阱#2：认为用户是愚蠢的或无可救药的

这个陷阱是将用户视为“最薄弱的环节”和所有问题的根源所在。与用户对立，把自己和用户区别开来。傲慢、敌对地对待用户，这势必使用户站在对立面，这显然不利于安全目标的达成。事实上，不是用户愚蠢，而是他们不知所措，他们想做正确的事情，但他们不知如何做或者没有能力做到。一个典型例子是，用户受到各种要求的轰炸而过度劳累（注：事实上，入侵检测系统过多的报警，使得真正有用的信息常常被无用信息淹没，从而极大地降低了其作用），使其无法进行有效的、合理的操作。

图1 过度劳累（演讲者原图）

2.3

陷阱#3：机械而不灵活的沟通方式

“知识的诅咒”（注：有时候，安全“砖家”与普通用户间难以沟通），作为安全专业人士，我们发现很难将高度技术性的语言即我们使用的术语转化为我们的普通能够理解语言，特别是当他们没有相关知识或技能情况下能够理解的语言。另外，用户需要能够看到安全与他们的工作职责和个人生活有关，如果我们不把它们联系起来，就难以激励人们采取行动。再多的策略和流程。如果不能以用户能理解的语言传达给用户，不能与用户的工作生活关联，就是毫无价值了。

2.4

克服第1-3个陷阱

1．富有同理心

要意识到我们都是人，是人就有局限，有做不到的地方，有犯错误的可能。要寻求根本原因，例如，用户的难处是什么，为什么会有这些难处。并且与用户建立联系。

2．结合上下文

这里的上下文包括，您的用户是谁？使用环境是什么样的？有哪些限制？与安全相关的交互点和影响在哪里？

3．做一个好的解说员

使用恰当的语言，不要用高深的专业术语。向用户提供容易理解的建议，告诉用户为什么，而不仅仅是做什么。与用户交流的过程中，还可以寻求帮助，因为并非所有人都擅长交流，也即不是所有用户都擅于交流。我们在发布规则、要求之前，可以先与部分用户代表进行交流，获得反馈。

4．综合使用上述措施

使用各种方式来传播信息，并且尽可能适应不同的偏好和条件。

2.5

陷阱#4：给用户带来太多的负担

给用户太多的负担，从而超越了用户的承受极限，包括时间方面、精力方面、认知方面等的极限。这样会导致用户犯错，并使用户沮丧、焦虑等，进而会犯更多的错。

2.6

陷阱#5：糟糕的可用性，使用户成为内部威胁

不实用的安全可能会适得其反。过于严苛的安全要求会有碍业务的开展。而用户更在意的是完成其业务工作。于是，为了应付，用户可能会采取变通办法或做出危险的举动，因为他们可能不了解这些举动的后果。

图2 口令安全要求（演讲者原图）

2.7

陷阱#6：认为最安全的解决方案是最好的

作为安全人员，我们希望一切都是安全的。这是我们的工作，所以我们倾向于推荐最安全的解决方案。然而，这种一刀切的方法，可能难以适用于不同的环境。高级别的安全不是对每个人/每个组织机构都实用或必要的，因为不是每个人每个组织机构都有相同的风险水平。

2.8

克服第4-6个陷阱

1．进行基本的可用性测试

你不必成为可用性专家，你不需要做任何正式的事情。选取一些有代表性的用户试用你提出的解决方案，看看他们犯什么样的错误，征求他们的意见并调整方案，使其更实用。然后再把它推向更广泛的用户。

2．使其可操作

为用户提供一些好的工具和可操作的、可实现的指导。把事情分解成可管理的、有优先级的部分，这样有利于用户实施。

3．尽可能减轻用户负担

不要期待不可能或难以实现的事情，否则事情会更糟。把困难的任务交给电脑或能力更强的人。

4．采取基于风险的方法

避免“一刀切”的解决方案，应基于环境及其安全需求进行调整。

2.9

陷阱#7：通过惩罚迫使用户遵守规定

通过惩罚用户的错误或失误，以此来吓唬人们采取正确的行动。由于一些不实用的安全措施，用户难以承受，而我们期望他们做得好，当他们做不到的时候，就对他们进行惩罚。这样的效果通常会适得其反。

2.10

陷阱#8：不考虑用户反馈和以用户为中心的有效性衡量

从技术的角度来看，安全指标和衡量安全投资回报是非常困难的，但是，如果不以用户为中心，不考虑用户的反馈，必定导致对用户的影响、行为和态度等方面的盲点。

2.11

克服第7-8个陷阱

1．不要只依靠用户的恐惧

恐惧是一种非常强大的情绪，但研究人员发现，恐惧并不总是会促使人们采取行动。

诚实地沟通风险，不要夸大它，但用户需要意识到风险得存在。给用户工具和指导，使其建立信心和能力去做好相应的事情。

2．正向思维，积极一点

识别出良好的安全行为，予以鼓励和表彰。而不是等待有人犯错，再进行惩罚。

3．收集以用户为中心的数据

通过收集用户安全事件或违反安全的数据来识别用户存在的问题，找到根本原因。让用户参与进来，提供反馈。然后改进安全解决方案，并告诉用户，你做过了调查也得到了用户的反馈，这样还可增加用户的认同敢。

三、总结

本演讲主要讨论了信息安全工作者常犯的与用户相关的非技术性错误。这些错误的根本原因是信息安全工作者以自我为中心，按自己的思维办事，而没有以用户为中心。从而不仅仅是给用户带来不便、困扰，更是给安全带来危害。演讲者分析了这些错误的原因，并给出了解决办法，值得参考。

内容编辑：创新研究院 李德全

责任编辑：创新研究院 顾 奇

本公众号原创文章仅代表作者观点，不代表绿盟科技立场。所有原创内容版权均属绿盟科技研究通讯。未经授权，严禁任何媒体以及微信公众号复制、转载、摘编或以其他方式使用，转载须注明来自绿盟科技研究通讯并附上本文链接。