每次大型線上資訊安全洩密事件一發生,人們好像覺得只要辦一場大型演講,告知使用者改用強度高的密碼、每次登入網站之後都要清空相關紀錄、備份資料,還有加密所有資訊,就可以解決所有的問題。  


這些聽起來很耳熟的碎碎念,在我們的同事Mat Honan遭到駭客攻擊之後又再次開始了。Mat Honan有三個網路帳戶遭到破解,而且有三個電子裝置的資料被消除。

回顧過往,2010年12月,駭客從Gawker Media拿到130萬名用戶的使用者名稱和密碼、Sony的PlayStation Network在2011年4月外洩7千7百萬名用戶資料,以及在允許式行銷(permission-marketing)服務Epsilon的6千萬名用戶遭受到網路釣魚攻擊之後,知名作家James Fallows,也加入了每次駭客攻擊事件發生之後的告誡行列。

行為經濟學家表示,人人都知道應該要在線上保護自己的資訊安全,只是大家選擇不這麼做。不管是透過新的密碼、備份方案或是其他方法來鞏固你的網路身分,在當下都是耗時耗力的行為,而且只能在某個不確定的未來獲得回報,又或者,根本沒有得到回報。

人類總是短視近利,寧願抱持僥倖的想法,相信自己根本不需要強度高的密碼或是電腦資料備份。


美國史丹佛大學的商科教授Baba Shiv專攻神經經濟學(neuroeconomics),藉由研究大腦的運作,瞭解人們怎麼做出經濟決策。Shiv表示:「大部分的人終其一生都不曾遭受過駭客攻擊,而且現在電腦的性能越來越好、越來越穩定,所以人們常會覺得備份是不需要的。」

Shiv說:「想像你住在市郊,在你回家的路上有一個停車標誌。有一天你想:『等等,為什麼每次我開車到這邊就必須無緣無故地停下來?』有一天,你開車經過停車標誌而沒有停下來,而且什麼事都沒有發生。第二天也是、第三天也是,直到第一百天還是沒事發生,那麼你會怎麼想呢?」

「這種什麼事都沒有發生的規律性,就是造成人們自我感覺良好的原因。但電腦被駭或是電腦整台壞掉是所謂的『黑天鵝事件』(black swan incident)。『黑天鵝事件』久久才會發生一次,不過只要一發生,事態就會很嚴重。

不只是個人很容易會受到這種低發生率、又是惡性循環事件的影響。《WIRED》六月的時候訪問美國杜克大學行為經濟學家Dan Ariely時,他提到機構也會產生類似的自我感覺良好狀況。舉例來說,蘋果和Amazon經常詢問打客服電話的人一些簡單的問題,以認證他們的身分;但在某些情況中,即使不知道安全性問題的答案,也可以通過認證。Ariely將這個狀況比喻成學會闖停車標誌的駕駛人。

Ariely說:「我想發生在這些公司的情況是,就算他們不進行認證也不會發生什麼壞事。所以他們想說:『喔,沒關係啦。』而持續不進行認證,直到很糟的狀況終於發生為止。」上面所提到的狀況就是駭客進行社交工程(social engineering)攻擊、清除Honan的數位身分時所想要利用的狀況。

一般人和組織都覺得「黑天鵝事件」會發生在別人身上。雖然他們會閱讀有關身份盜竊(identity theft)、電子郵件帳號被侵占等等事件的報導,可是他們不會因此而改變自己的行為。因為現在想要加強資訊安全的邊際成本太高了,無法和未來遭受攻擊的風險相抵。舉例來說,當為了登入新網站而必須創造新帳號的時候,一般人只要有機會,就會傾向設定簡單,不安全的密碼。

Shiv表示,特別有趣的一點是,這些人裡面有不少的比例,打算以後如果有時間的話要創造一個更複雜的密碼,但所謂的「以後」當然是不會發生。不過他們相信比起現在來,他們未來會更審慎小心地去衡量線上資訊安全的成本和好處。  


引用自http://wired.tw/2012/09/05/hackers-walk-all-over-you/index.html

原也網頁設計、網站規劃、網站行銷。

arrow
arrow

    missphoebb 發表在 痞客邦 留言(0) 人氣()