Expert en sécurité bruce schneier sur les mots de passe, la confidentialité et la confiance

Video: The Battle for Power on the Internet: Bruce Schneier at TEDxCambridge 2013

Dans le monde interconnecté d`aujourd`hui, tout ce qu`il faut est une erreur de sécurité pour faire de votre monde entier s`écrouler. Qui mieux se tourner vers des conseils que l`expert en sécurité Bruce Schneier?

Si vous avez même un intérêt passager les questions de sécurité, alors vous êtes sûrement à travers les écrits de Bruce Schneier, un gourou de sécurité de renommée mondiale qui a siégé à de nombreux comités gouvernementaux, a témoigné devant le Congrès, et est l`auteur de 12 livres sur les questions de sécurité jusqu`à présent, ainsi que d`innombrables essais et documents académiques.Red Alert: 10 Sécurité informatique Blogs Vous devez suivre aujourd`huiRed Alert: 10 Sécurité informatique Blogs Vous devez suivre aujourd`huiLa sécurité est une partie essentielle de l`informatique, et vous devriez vous efforcer de vous éduquer et rester à jour. Vous voulez vérifier ces dix blogs de sécurité et les experts en sécurité qui les écrivent.Lire la suite

Après avoir entendu parler plus récent livre de Schneier, Carry On: conseils de son Schneier sur la sécurité, nous avons décidé qu`il était temps de tendre la main à Bruce pour obtenir des conseils judicieux concernant certains de nos propres préoccupations pressantes de la vie privée et de sécurité.

Video: Comment créer un MOT DE PASSE EFFICACE (Sécurité Informatique)

Bruce Schneier - Sound Advice

Dans un monde global rempli d`espionnage numérique international, les menaces de logiciels malveillants et les virus et les pirates anonymes dans tous les coins - il peut être un endroit très effrayant pour quiconque de naviguer.

Ne craignez rien - car nous avons demandé Bruce à nous fournir quelques conseils sur certains des plus pressants les problèmes de sécurité aujourd`hui. Après avoir lu cette interview, vous aurez au moins repartez avec une plus grande prise de conscience de ce que les menaces sont vraiment, et ce que vous pouvez vraiment faire pour vous protéger.5 choses que nous avons appris sur la sécurité en ligne en 20135 choses que nous avons appris sur la sécurité en ligne en 2013Les menaces sont devenues plus complexes et, pire encore, viennent maintenant des endroits que la plupart ne serait jamais attendre - comme le gouvernement. Voici 5 dures leçons que nous avons apprises sur la sécurité en ligne en 2013.Lire la suite

Comprendre Théâtre sécurité

MUO: En tant que consommateur, comment puis-je distinguer le « théâtre de la sécurité » d`une application véritablement sécurisée ou d`un service? (Le terme « théâtre de la sécurité » a été choisi dans le terme que vous Inventé dans vos écrits passés sur la façon dont les applications et les services de sécurité en tant que réclament point de vente.)

Bruce: Vous ne pouvez pas. Dans notre société spécialisée et la technologie, vous ne pouvez pas dire bon du mauvais produits et services dans beaucoup de domaines. Vous ne pouvez pas dire d`un aéronef structurellement solide d`un un peu sûr. Vous ne pouvez pas dire à un bon ingénieur d`un charlatan. Vous ne pouvez pas dire un bon produit pharmaceutique de l`huile de serpent. C`est bien, cependant. Dans notre société, nous faisons confiance à d`autres pour prendre ces décisions pour nous. Nous espérons que les programmes de licence et de certification du gouvernement. Nous faire confiance à l`examen des organisations comme l`Union des consommateurs. Nous faisons confiance aux recommandations de nos amis et collègues. nous experts en fiducie.La sécurité en ligne: Suivez 10 experts en sécurité informatique sur TwitterLa sécurité en ligne: Suivez 10 experts en sécurité informatique sur TwitterIl y a des étapes simples que vous pouvez prendre pour vous protéger en ligne. L`utilisation d`un pare-feu et un logiciel antivirus, créant des mots de passe sécurisés, ne pas laisser vos appareils unattended- ce sont tous Coup de cœur. Au-delà, il revient ...Lire la suite

La sécurité est pas différent. Parce que nous ne pouvons pas dire une application sécurisée ou d`un service informatique d`une non protégée, nous devons compter sur d`autres signaux. Bien sûr, la sécurité informatique est si complexe et en mouvement rapide que ces signaux nous manquent régulièrement. Mais c`est la théorie. Nous décidons qui nous faisons confiance, et nous acceptons les conséquences de cette confiance.

L`astuce est de créer des mécanismes de confiance.

DIY vérifications de sécurité?

MUO: Qu`est-ce qu`un « audit de code » ou un « audit de sécurité » et comment ça marche? Crypto.cat était open source, ce qui fait que certaines personnes pensent qu`il était sûr, mais il est avéré personne auditée il. Comment puis-je trouver ces vérifications? Y at-il des moyens que je pourrais auditer mon propre usage au jour le jour des outils, pour vous assurer que je me sers des choses qui me protège vraiment?

Bruce: Un audit signifie ce que vous pensez que cela signifie: quelqu`un d`autre avait l`air à elle, et a prononcé bon. (Ou, au moins, a trouvé les mauvaises parties et a dit à quelqu`un de les corriger.)

Les questions suivantes sont aussi évidentes: qui a vérifié, comment vaste était la vérification, et pourquoi devriez-vous leur faire confiance? Si vous avez déjà eu une inspection de la maison quand vous avez acheté une maison, vous comprenez les problèmes. Dans le logiciel, les bons audits de sécurité sont complets et coûteux et - à la fin - aucune garantie que le logiciel est sécurisé.

Les vérifications ne peuvent trouver qu`ils ne peuvent jamais problèmes-prouver l`absence de problèmes. Vous pouvez certainement vérifier vos propres outils logiciels, supposant que vous avez les connaissances et l`expérience requises, l`accès au code du logiciel, et le temps. Il est comme être votre propre médecin ou avocat. Mais je ne le recommande pas.

Il suffit de voler sous le radar?

MUO: Il y a aussi cette idée que si vous utilisez ces services hautement sécurisés ou les précautions, vous agissez en quelque sorte suspect. Si cette idée a du mérite, nous devons concentrer moins sur les services plus sûrs et plutôt essayer de voler sous le radar? Comment ferions-nous cela? Quel genre de comportement est considéré comme suspect, à savoir ce que vous obtient un rapport minoritaire? Quelle est la meilleure tactique pour « profil bas »?

Bruce: Le problème avec la notion de voler sous le radar, ou couché faible, est qu`il est basé sur des notions pré-ordinateur de la difficulté à remarquer quelqu`un. Quand les gens sont ceux qui font l`observation, il était logique de ne pas attirer leur attention.

Mais les ordinateurs sont différents. Ils ne sont pas limités par les notions humaines de attention- ils peuvent regarder tout le monde en même temps. Ainsi, alors qu`il est vrai que l`utilisation du cryptage quelque chose que la NSA prend note spéciale, non pas de l`utiliser ne signifie pas que vous serez remarqué moins. La meilleure défense est d`utiliser des services sécurisés, même si elle pourrait être un drapeau rouge. Pensez-y de cette façon: vous fournir une couverture pour ceux qui ont besoin de cryptage pour rester en vie.

Confidentialité et Cryptographie

MUO: Vint Cerf a dit que la vie privée est une anomalie moderne, et que nous n`avons pas une attente raisonnable de la vie privée à l`avenir. Es-tu d`accord avec ça? La vie privée est une illusion moderne / anomalie?

Bruce: Bien sûr que non. La vie privée est un besoin humain fondamental, et quelque chose qui est très réel. Nous aurons besoin de la vie privée dans nos sociétés aussi longtemps qu`ils sont composées de personnes.

MUO: Diriez-vous que nous en tant que société se complaisant au sujet de la cryptographie de données?

Bruce: Certes, nous en tant que concepteurs et constructeurs de services informatiques sont devenus complaisants sur la sécurité cryptographie et des données en général. Nous avons construit un Internet qui est vulnérable à la surveillance de masse, non seulement par la NSA, mais par toutes les autres organisations du renseignement national sur la planète, les grandes entreprises et les cybercriminels. Nous avons fait cela pour diverses raisons, allant de « il est plus facile de cette façon » à « nous aimons faire avancer les choses gratuitement sur Internet. » Mais nous commençons à réaliser que le prix que nous payons est en fait assez élevé, nous espérons donc que faire un effort pour changer les choses.

Améliorer votre sécurité et confidentialité

MUO: Quelle forme / combinaison de mots de passe / l`autorisation jugez-vous le plus sûr? Qu`est-ce que les « meilleures pratiques » recommanderiez-vous pour créer un mot de passe alphanumérique?

Bruce: J`ai écrit récemment à ce sujet. Les détails méritent d`être lus.

Note de l`auteur: L`article lié décrit finalement le « Schneier Scheme » qui fonctionne pour le choix des mots de passe sécurisés, en fait cité de son propre article 2008 sur le sujet.7 façons de faire des mots de passe à la fois sécurisé & Mémorable7 façons de faire des mots de passe à la fois sécurisé & MémorableAvoir un mot de passe différent pour chaque service est un must dans le monde en ligne d`aujourd`hui, mais il y a une terrible faiblesse des mots de passe générés au hasard: il est impossible de se souvenir de tous. Mais comment pouvez-vous rappeler ...Lire la suite

« Mon conseil est de prendre une phrase et le transformer en un mot de passe. Quelque chose comme « Ce petit porcin est allé sur le marché » pourrait devenir « tlpWENT2m ». Ce mot de passe de neuf caractères ne sera pas dans le dictionnaire de personne. Bien sûr, ne pas utiliser celui-ci, parce que je l`ai écrit à ce sujet. Choisissez votre propre phrase-quelque chose de personnel « .

MUO: Comment l`utilisateur moyen meilleure offre / faire face aux nouvelles que leur compte avec un site de renommée mondiale, une banque ou société multinationale a été compromise (je parle des violations de données du type Adobe / LinkedIn ici, plutôt que d`une seule banque compte violé par la fraude de carte)? Faut-il déplacer leurs affaires? Que pensez-vous qu`il faudra pour souligner aux services de sécurité IT / données que la divulgation immédiate, complète est le meilleur PR?

Bruce: Cela nous ramène à la première question. Il n`y a pas beaucoup nous que les clients peuvent faire de la sécurité de nos données quand il est dans d`autres mains des organisations. Nous devons simplement faire confiance qu`ils vont sécuriser nos données. Et quand ils ne le font pas - quand il y a une grande brèche de sécurité - notre seule réponse possible est de déplacer nos données ailleurs.

Mais 1) nous ne savons pas qui est plus sûr, et 2) nous avons aucune garantie que seront effacées nos données lorsque l`on passe. La seule vraie solution est ici la réglementation. Comme tant de domaines dans lesquels nous ne disposons pas de l`expertise pour évaluer, et sont tenus de faire confiance, nous espérons que le gouvernement d`intervenir et de fournir un processus digne de confiance que nous pouvons compter.

En informatique, il faudra la législation pour faire en sorte que les entreprises sécuriser nos données et nous informer de manière adéquate quand il y a des failles de sécurité.

Conclusion

Il va sans dire que ce fut un honneur de vous asseoir et (virtuellement) discuter de ces questions avec Bruce Schneier. Si vous cherchez un aperçu encore plus de Bruce, par tous les moyens assurez-vous de vérifier son dernier livre, Carry On, qui promet de prendre de Bruce sur des questions importantes de sécurité aujourd`hui comme le bombardement Marathon de Boston, surveillance de la NSA et les cyber-attaques chinoises. Vous pouvez également obtenir des doses régulières de la perspicacité de Bruce sur son blog.

Video: Sécurité informatique : la Mutualité française - Territoire de Belfort nous fait confiance

Comme vous pouvez le dire à partir des réponses ci-dessus, rester en sécurité dans un monde incertain est pas vraiment facile, mais en utilisant les bons outils, choisissant avec soin ce que les entreprises et les services que vous décidez de « confiance », et en utilisant le bon sens avec vos mots de passe est très bon départ.