Sécurité

Bruce Schneier, expert en sécurité, sur les mots de passe, la confidentialité et la confiance

Bruce Schneier, expert en sécurité, sur les mots de passe, la confidentialité et la confiance / Sécurité

Dans le monde interconnecté d'aujourd'hui, une seule erreur de sécurité suffit pour que votre monde entier s'écroule. À qui demander conseil mieux que l'expert en sécurité Bruce Schneier?

Alerte rouge: 10 blogs sur la sécurité informatique à suivre aujourd’hui Alerte rouge: 10 blogs sur la sécurité informatique à suivre aujourd’hui La sécurité est un élément crucial de l’informatique et vous devez vous efforcer de vous informer et de rester au courant. . Vous aurez envie de consulter ces dix blogs de sécurité et les experts en sécurité qui les écrivent. Lisez plus, alors vous avez sûrement croisé les écrits de Bruce Schneier, un gourou de la sécurité de renommée mondiale qui a siégé à de nombreux comités gouvernementaux, a témoigné devant le Congrès et est l'auteur de 12 livres sur les questions de sécurité jusqu'à présent, ainsi que d'innombrables essais et articles académiques.

Après avoir entendu parler du dernier livre de Schneier, Continuer: conseils judicieux de Schneier sur la sécurité, nous avons décidé qu'il était temps de contacter Bruce pour obtenir des conseils judicieux concernant certaines de nos préoccupations urgentes en matière de confidentialité et de sécurité..

Bruce Schneier - Conseils judicieux

Dans un monde globalisé rempli d'espionnage numérique international, de logiciels malveillants et de virus, et de pirates anonymes à chaque coin de rue - il peut être un endroit très effrayant pour tout le monde..

N'ayez crainte - nous avons demandé à Bruce de nous fournir des indications sur certains des problèmes de sécurité les plus urgents. 5 choses que nous avons apprises sur la sécurité en ligne en 2013 5 choses que nous avons apprises sur la sécurité en ligne en 2013 Les menaces sont devenues plus complexes et, pire encore, maintenant venant d'endroits auxquels la plupart ne s'attendaient jamais - comme le gouvernement. Voici 5 leçons difficiles que nous avons apprises sur la sécurité en ligne en 2013. Lisez-en plus aujourd'hui. Après avoir lu cette interview, vous aurez au moins une meilleure idée de la nature réelle des menaces et de ce que vous pouvez réellement faire pour vous protéger..

Comprendre le théâtre de sécurité

MUO: En tant que consommateur, comment puis-je distinguer “théâtre de sécurité” à partir d'une application ou d'un service réellement sécurisé? (Le terme “théâtre de sécurité” a été choisi dans le terme que vous avez inventé dans vos écrits antérieurs sur la manière dont les applications et les services revendiquent la sécurité comme un argument de vente.)

Bruce: Tu ne peux pas. Dans notre société spécialisée et technologique, vous ne pouvez pas distinguer les produits de qualité des produits et services de mauvaise qualité dans de nombreux domaines. Vous ne pouvez pas distinguer un avion dont la structure est saine d'un avion dangereux. Vous ne pouvez pas distinguer un bon ingénieur d'un charlatan. Vous ne pouvez pas distinguer un bon produit pharmaceutique de l'huile de serpent. Ce n'est pas grave, cependant. Dans notre société, nous faisons confiance aux autres pour prendre ces décisions à notre place. Nous faisons confiance aux programmes de licence et de certification du gouvernement. Nous faisons confiance à des organisations telles que Consumers Union. Nous faisons confiance aux recommandations de nos amis et collègues. Nous faisons confiance aux experts Stay Safe Online: suivez 10 experts en sécurité informatique sur Twitter Stay Safe Online: suivez 10 experts en sécurité informatique sur Twitter Vous pouvez prendre des mesures simples pour vous protéger en ligne. Utiliser un pare-feu et un logiciel antivirus, créer des mots de passe sécurisés, sans laisser vos appareils sans surveillance; ce sont tous des impératifs absolus. Au-delà, ça descend… Lire la suite .

La sécurité n'est pas différente. Parce que nous ne pouvons pas distinguer une application sécurisée ou un service informatique d'une application non sécurisée, nous devons nous fier à d'autres signaux. Bien entendu, la sécurité informatique est si complexe et si rapide que ces signaux nous font défaut. Mais c'est la théorie. Nous décidons en qui nous avons confiance, puis nous acceptons les conséquences de cette confiance..

L'astuce consiste à créer de bons mécanismes de confiance.

Audits de sécurité de bricolage?

MUO: Qu'est ce qu'un “audit de code” ou un “audit de sécurité” et comment ça marche? Crypto.cat était open-source, ce qui a amené certaines personnes à penser qu'il était sécurisé, mais il s'est avéré que personne ne l'a vérifié. Comment puis-je trouver ces audits? Existe-t-il des moyens de vérifier ma propre utilisation quotidienne d'outils, pour m'assurer d'utiliser des outils qui me protègent réellement?

Bruce: Un audit signifie ce que vous pensez que cela signifie: quelqu'un d'autre l'a examiné et l'a jugé bon. (Ou, au moins, trouvé les mauvaises pièces et dit à quelqu'un de les réparer.)

Les questions suivantes sont également évidentes: qui l'a auditée, quelle était l'ampleur de l'audit et pourquoi devriez-vous leur faire confiance? Si vous avez déjà eu une inspection de la maison lorsque vous avez acheté une maison, vous comprenez les problèmes. Dans le logiciel, de bons audits de sécurité sont complets et coûteux et - au final - rien ne garantit que le logiciel est sécurisé.

Les audits ne peuvent trouver que des problèmes; ils ne peuvent jamais prouver l'absence de problèmes. Vous pouvez définitivement auditer vos propres outils logiciels, en supposant que vous disposez des connaissances et de l'expérience requises, de l'accès au code du logiciel et de l'heure. C'est comme être ton propre médecin ou avocat. Mais je ne le recommande pas.

Vole juste sous le radar?

MUO: Il y a aussi cette idée que si vous utilisez des services ou des précautions hautement sécurisées, vous agissez d'une manière ou d'une autre suspect. Si cette idée a du mérite, devrions-nous moins nous concentrer sur des services plus sûrs et essayer plutôt de passer inaperçu? Comment ferions-nous cela? Quel type de comportement est considéré comme suspect, c’est-à-dire ce qui vous amène à signaler une minorité? Quelle est la meilleure tactique à “reste discret”?

Bruce: Le problème avec la notion de voler sous le radar, ou de rester en retrait, est que cela est basé sur des notions pré-informatiques de la difficulté à remarquer quelqu'un. Quand ce sont les gens qui regardent, il est logique de ne pas attirer leur attention.

Mais les ordinateurs sont différents. Ils ne sont pas limités par des notions humaines d'attention; ils peuvent regarder tout le monde en même temps. Ainsi, s’il est vrai que le cryptage est une chose que la NSA tient particulièrement à noter, ne pas l’utiliser ne signifie pas que vous serez remarqué moins. La meilleure défense consiste à utiliser des services sécurisés, même s'il peut s'agir d'un drapeau rouge. Pensez-y de cette façon: vous offrez une couverture à ceux qui ont besoin d'un chiffrement pour rester en vie..

Confidentialité et cryptographie

MUO: Vint Cerf a déclaré que la vie privée est une anomalie moderne et que nous n'avons aucune attente raisonnable en la matière. Es-tu d'accord avec ça? La vie privée est-elle une illusion / anomalie moderne?

Bruce: Bien sûr que non. La vie privée est un besoin humain fondamental, et quelque chose de très réel. Nous aurons un besoin de vie privée dans nos sociétés tant qu'elles sont composées de personnes.

MUO: Diriez-vous qu'en tant que société, nous sommes devenus complaisants en ce qui concerne la cryptographie de données?

Bruce: Certes, en tant que concepteurs et constructeurs de services informatiques, nous sommes devenus complaisants en matière de cryptographie et de sécurité des données en général. Nous avons construit un Internet vulnérable à la surveillance de masse, non seulement par la NSA, mais par tous les autres organismes nationaux de renseignement de la planète, les grandes entreprises et les cybercriminels. Nous l’avons fait pour diverses raisons, allant de “c'est plus facile comme ça” à “nous aimons obtenir des choses gratuitement sur Internet.” Mais nous commençons à nous rendre compte que le prix que nous payons est en fait assez élevé, alors espérons que nous ferons un effort pour changer les choses.

Améliorer votre sécurité et votre vie privée

MUO: Quelle forme / combinaison de mots de passe / autorisations considérez-vous comme la plus sécurisée? Quoi “les meilleures pratiques” recommanderiez-vous pour créer un mot de passe alphanumérique?

Bruce: J'ai écrit à ce sujet récemment. Les détails méritent d'être lus.

Note de l'auteur: L'article lié décrit finalement la “Schéma Schneier” cela fonctionne pour choisir des mots de passe sécurisés 7 façons de créer des mots de passe à la fois sécurisés et mémorisables 7 façons de créer des mots de passe sécurisés et mémorables Avoir un mot de passe différent pour chaque service est indispensable dans le monde en ligne actuel, mais il existe une faiblesse terrible mots de passe générés au hasard: il est impossible de tous les mémoriser. Mais comment pouvez-vous vous en souvenir… Read More, cité dans son propre article de 2008 sur le sujet.

“Mon conseil est de prendre une phrase et de la transformer en mot de passe. Quelque chose comme «Ce petit cochon est allé au marché» pourrait devenir «tlpWENT2m». Ce mot de passe de neuf caractères ne figurera dans aucun dictionnaire. Bien sûr, n'utilisez pas celui-ci, car j'ai déjà écrit à ce sujet. Choisissez votre propre phrase-quelque chose de personnel.”

MUO: Comment un utilisateur moyen peut-il mieux faire face aux nouvelles selon lesquelles son compte auprès d'un site Web, d'une banque ou d'une multinationale de renommée mondiale a été compromis (je parle ici de violations de données de type Adobe / LinkedIn, plutôt que d'une seule banque compte piraté par fraude à la carte)? Devraient-ils déménager leur entreprise? Que pensez-vous qu'il faudra pour souligner aux départements de la sécurité informatique et de la sécurité des données qu'une divulgation immédiate et complète est le meilleur des PR?

Bruce: Cela nous ramène à la première question. En tant que clients, nous ne pouvons pas faire grand chose pour la sécurité de nos données lorsque celles-ci sont entre les mains d'autres organisations. Nous devons simplement avoir confiance qu'ils sécuriseront nos données. Et quand ils ne le font pas - quand il y a une faille de sécurité importante - notre seule réponse possible est de déplacer nos données ailleurs.

Mais 1) nous ne savons pas qui est le plus sécurisé, et 2) nous n’avons aucune garantie que nos données seront effacées lorsque nous nous déplacerons. La seule solution réelle ici est la réglementation. Comme dans de nombreux domaines où nous n'avons pas l'expertise à évaluer et où nous devons faire confiance, nous nous attendons à ce que le gouvernement intervienne et propose un processus fiable sur lequel nous pouvons compter..

En informatique, il faudra une législation pour garantir que les entreprises sécurisent correctement nos données et nous informent en cas d'atteinte à la sécurité..

Conclusion

Il va sans dire que ce fut un honneur de rester à l'écart et de discuter (virtuellement) de ces questions avec Bruce Schneier. Si vous souhaitez obtenir encore plus d'informations de Bruce, ne manquez surtout pas de consulter son dernier livre, Carry On, qui promet que Bruce s'attaque aujourd'hui à d'importants problèmes de sécurité, comme l'attentat à la bombe du marathon de Boston, la surveillance de la NSA et les cyberattaques chinoises. Vous pouvez également obtenir des doses régulières de la vision de Bruce sur son blog.

Comme vous pouvez le constater à partir des réponses ci-dessus, rester en sécurité dans un monde instable n'est pas une mince affaire, mais il faut utiliser les bons outils, choisir avec soin les entreprises et les services que vous choisissez. “confiance”, et en utilisant le bon sens avec vos mots de passe est un très bon début.

Explorez plus sur: Sécurité en ligne, Mot de passe.