对未来进行预测总是危险的，但对下一个7年中钓鱼攻击的前景进行预测又值得冒险，在本书的下一版中，我又将讨论哪些内容呢？我预期会看到钓鱼攻击在银行领域外的其他行业不断增长。2007年11月，发生过一次对Sales...

关键词：

钓鱼之所以难于处理，是因为结合了心理学与技术。一方面，银行与服务提供商的培训使得用户以不安全的方式进行操作，很多种方式都会使得用户去点击Web链接。实际上，销售行业的大部分工作都是引导人们去点击链接。...

关键词： 2.4.7  钓鱼  攻击 

与钓鱼相关的第二个问题是可信路径，研究的是如何通过没有被窃听的信道来确保所登录的是真正要登录的计算机。这里涉及的欺骗要比心理学欺骗更有技术性-- 不再是假冒警察来诱骗银行客户泄露其PIN，而是在商场中安...

关键词： 2.4.6    可信 

现今，对密码的最大现实威胁是用户将密码披露给第三方-- 不管是意外的还是被欺骗所致，都会影响系统的安全性。这也是"钓鱼"问题的核心。尽管第一次钓鱼攻击发生在2003年，但"钓鱼"这一词汇本身并不新颖，实际上...

关键词： 2.4.5  社会  工程 

有些时候，确实可以对用户进行培训。在公司或军事系统，可以培训用户选择合适的密码，或为其颁发随机密码，并要求用户像保护数据一样对密码进行保护。军事"绝密"级密码应该装进信封，放进保险箱，放置在有警卫巡...

关键词： 2.4.4  用户  能力 

最迟从上个世纪80年代中期开始，人们就已经开始研究用户会为自己的设备选择哪些类型的密码，结果令人沮丧，很多用户使用配偶的名字、单个字母或干脆按一下回车键(生成一个空字符串)作为自己的密码。因此，一些系...

关键词： 2.4.3  幼稚  密码 

关于密码的第二个心理学问题是，人们经常发现自己难于记住密码[245、1379]。12～20位数还可以从电报或者电表票据上抄写一遍，但是当需要记忆密码的时候，顾客不是选择别人容易猜到的数字，就是将密码写下来，甚至...

关键词： 2.4.2  记住  密码 

与人的因素有关的第一个问题是，如果密码太长或者太复杂，用户可能不容易正确地输入。如果用户要进行的操作非常紧急的话，可能会产生安全问题；如果客户输入软件产品激活码时存在困难，就会给技术支持带来不少麻...

关键词： 2.4.1  可靠  密码 

本节中，我将在一个简单、重要、有启发性的环境中讨论密码的管理，这个环境是可用性、应用心理学与安全工程交汇的地方。密码是安全工程师今天所面临的最大问题之一。实际上，正如可用性研究者Angela Sasse所说的...

关键词： 2.4    密码 

尽管如此，心理学也并不总是让人悲观失望，在有些方面，人脑要比计算机强很多。我们尤其擅长在视觉上识别他人，这也是很多灵长类动物共有的能力。我们通常擅长图像识别，比如"从这部电影中挑出所有女孩儿骑马走向...

关键词：

该学科研究的是人的思想、情感以及行为是如何被其他人实际的、想象的、暗示的存在所影响的。这包括很多方面，从个体对团体的归属，到将我们自己与他人进行比较时获得的自尊，都在其研究范围之内。在说服力方面，...

关键词： 2.3.5    社会心理学 

大多数信息系统都是由男人设计的，然而其用户有一半以上是女人。近来，人们已经认识到，很多软件对女性会有障碍，这也推动了"性别人机交互"的研究工作，该工作研究如何设计软件，使得男人与女人都可以有效地使用...

关键词： 2.3.4    人 

很多心理学家将思维看成是由理性部分与感性部分("心"与"脑"，或"情感"与"认知")的交互构成。进化生物学的研究表明，从生命的早期开始，对社会现象(比如对父母和兄弟姐妹的识别)与物理现象，我们有不同的思维处理...

关键词： 2.3.3  思维  处理 

短期内，对安全工作者而言，最有前景的心理学领域是对人类在执行决策时使用的启发式方法以及对其产生影响的偏差进行研究。这一学科，称为行为经济学(behavioural economics)或决策科学(decision science)，是介...

关键词： 2.3.2  认知  偏差 

认知心理学研究的是人类如何思考、记忆、做决定，甚至如何做"白日梦"。在这一领域，有很多广为人知的结果，比如，频繁重复发生的事情会更容易记住，在具体的上下文中记住某些事情更容易，等等。然而，系统开发人...

关键词： 2.3.1  人脑  哪些方面 

我预期安全与心理学之间的交互将成为之后5年中的一个很大的研究领域，就像过去5年中安全经济学成为一个重要研究领域一样。这不仅仅因为不断增长的攻击行为针对的是用户而非(或者同样包括)技术。比如，恐怖主义在...

关键词： 2.3    心理学 

对公司而言，钓鱼攻击在很多方面都要比假托攻击难于对付，因为攻击(如上面所提及的最后一种花招)目标不是公司的员工，而是公司的客户。对一般客户都进行培训是很难的--并且你不能仅仅是为普通用户设计培训方案。...

关键词： 2.2.2    钓鱼 

2.2 基于心理学的攻击通过系统的操作人员对系统进行的攻击日益增长，但这并非新生事物，军事与情报机构就一直将彼此的员工作为目标。私家侦探机构也差不多。这种类型的典型攻击方式是假托。2.2.1 假托1996年，...

关键词： 2.2.1    假托 

第2章 可用性与心理学人们无法安全地存储高质量的加密密钥，他们在进行加密操作时的速度和准确度是无法接受的(加密密钥数量巨大，维护代价高昂，并且难于管理，还可能污染环境。令人惊讶的是，这些设备仍然继续...

关键词： 2.1    简介 

安全协议方面的研究论文在学术界随处可见。介绍性的论文可能主要有Needham-Schroeder最初的论文[960]、Burrows-Abadi-Needham身份验证逻辑[249]、Abadi、Needham和Anderson与Needham关于协议鲁棒性方面的论文[2、...

关键词：