严重影响用户体验：企业常犯的6个安全错误

对安全职位来说，如果所执行的安全计划缺少了员工们的支持，安全团队就无法确保组织的网络安全。因此，安全团队要让人们意识到风险，以及要让人们意识到，该用何种解决方案来管理风险，否则没有人会配合安全落地。某网络安全公司营销顾问兼专家Yehudah Sunshine对此表示：“这不是组织交给It或安全专家来做就能成的，而是需要组织从上至下推动，让所有员工都参与进来，才能维护好网络安全。所以组织必须培训员工，以建立更深入、更有效的网络安全心态。”

而其中最大的挑战，是安全团队如何与非安全人员进行有效沟通，安全团队需要让所有人都了解网络安全的“内容”和“成因”。Sunshine说：“我们的目标是让全体员工自发地遵守安全制度，而不是屈尊俯就，通过操纵或惩罚的方式逼他们遵守。安全团队需要帮助员工们消除这种恐惧因素，同时只要人们能够保证自己的坦白，以及在坦白的情况下不会因为安全过错而被解雇，员工自然会主动站出来解决问题，而不会试图掩盖、逃避问题。”

Sunshine建议将网络安全培训作为个人和公司的长期利益。相关人员必须明白，这对所有部门来说都是重要且相关的。任何与供应商、合作伙伴和客户互动过的员工，最终都可能留下一定的信息痕迹，而这些信息痕迹往往会成为黑客的攻击对象。这就是为什么“所有员工都必须意识到培训的重要性”。

Sunshine说：“公司有必要建立一种‘以网络安全为中心’的企业文化，而这一壮举需要获得每个人的支持，包括来自人力资源、用户体验和业务团队的代表，以及那些‘能够将基本概念翻译出来，便于他人理解’的员工。”

Brown对此表示赞同，她提出，那些愿意付出努力并采取主动安全措施的公司将更适合接下去的市场环境，不久的将来，那些只会“填补漏洞”的组织一定会被时代抛弃。“所以各组织要致力于实际的安全，而不是仅仅为了面子或追逐潮流。”

为了将安全措施实现出最佳效果，组织必须在所需的安全级别和用户的便利性之间找到平衡，也就是说要根据用户属性适配不同等级的安全措施。Sunshine说，对于那些在政府工作的员工来说，当然要实施更高级别的安全限制，此限制一定比食品卡车企业要高得多。

因此，组织不能将强监管行业所需的安全措施完全照搬，因为对那些不需要这种安全级别的企业来说，会在日常工作中带来不必要的摩擦。就像Brown说的那样，未能区分不同的用户和需求是许多安全协议的根本缺陷。

同样，当涉及“银行对客户在线活动的安全检查”时，《Cybersecurity for Dummies》一书的作者Joseph Steinberg表示，银行即使只是检查余额，也会要求客户拿出额外的代码证明和身份证明，显然这是多此一举的。“将每个用户行为都添上额外的安全措施，实际上这会使人们关注不到真正的威胁。”

所需的安全措施取决于风险级别和那些“与正常行为有所偏差”的举动，这可能与请求的形式、设备、位置，甚至与个人相关的操作模式有关。Steinberg说：“当风险级别低，并且安全信心较高时，没有必要增加额外的安全层。然而，如果是出于交易性质或对某种情况缺乏安全信心，那就需要额外的保护。”

比如，若客户总是使用特定的浏览器，并总是在纽约市用Verizon手机进行登录，那么当客户突然在加州使用苹果手机时，就应该将其标注为“元数据不匹配”。此状况并不一定证明是有人在入侵，但它保证了对意外情况的额外检查，当然，客户们也应该意识到，这是为了确保他们的账户安全。

Steinberg表示，很多人都看到过这样的要求：“你的密码必须是八个字符，其中至少包括一个大写字母和一个小写字母，外加一个数字。”还有些公司会要求更多密码细节。而所有这些对复杂性的需求都源于这样一个信念——在较长组合序列中引入更多的变量，会使黑客们更难破解代码。

Steinberg解释说，虽然理论上是这样，但在实践中，人类的处世习惯会使这些密码遵循一种可被预测的模式，比如以大写字母开头，以小写字母结尾，并在需要时在数字后面添加特殊字符。因此，引入这些额外的变量，并不会让密码变得像人们想象中那样难以捉摸。

Brown指出，复杂性本身就会导致安全问题。将如此长而复杂的序列写入内存是很困难的，所以人们会倾向于将它们写在纸上或存储在浏览器中，而这就是风险所在。软件工程师兼讲师April McBroom表示：“为了确保密码安全，密码永不该以任何明文形式存储或保存在浏览器中。相反，它们应该被放在密码管理器里，而该管理器也需用其他密码或其他方式才能验证登入。”

有些公司会强制用户每隔一段时间就更改密码，而人们往往不会为自己设计多个确定密码，对于那些已经被破解的密码而言，人们更愿意在原密码的基础上进行轻微的改动，而这样的改动是很容易被猜测的。同时，依赖自身记忆的用户，也可能因多次错误输入密码而被锁定在账户之外，所以这并不能带来良好的用户体验。

McBroom解释说，企业通常会使用推送通知和智能手机上的身份验证程序来替代密码，对于许多企业来说，默认的多因素身份验证（MFA）形式已经成为主要的身份验证代码，而这样的方式本身就存在隐患。

就像在公司内部一样，组织应该根据客户属性来区分客户所需的安全级别。然而，在过去的几年里，银行几乎会要求每个访问点都具备“通过短信发送的代码”，连检查账户余额也不例外。虽然这对客户来说似乎只是个小麻烦，但它可能会给相关访问带来严重的安全问题，比如一些AT&T电话用户无法在手机上收到这些短信。

Brown表示，那些使用其他运营商的用户，他们在出国旅行时可能会发现自己的SIM卡无法使用，而更糟糕的是，如果不能满足对代码的需求，客户的账户将面临被冻结的风险。另一方面，犯罪分子也可以通过多因素身份验证疲劳攻击、网络钓鱼活动、SIM卡交换或其他方法获取这些短信代码。

Brown指出，在多因素身份认证方面，组织也不能过多依赖“安全问答”，因为用户在回答这些安全问题时，即使答对了，也可能会被自动化系统锁定。比如安全问题提出：“你最喜欢的作家是谁？”用户所给出的名字要和他们过去记录时的答案一致，哪怕只是多了个姓氏也不行。

因此Steinberg建议采用基于知识的安全问题，特别是要多几个层次，好使黑客更难找到信息。比如，安全问题提到：“你的姐姐叫什么名字？”组织不能让用户只回答一个“玛丽”，而是要使用多项选择题丰富问题，比如添加“以下哪条街道与玛丽有关？”等选项。

当然，Steinberg也承认，组织想要利用这些数据，就必须获得合法的权利，这对于企业来说可能是较为昂贵的。

一些人认为生物识别技术将以更高的安全性取代密码。McBroom表示，指纹就已经被用来代替密码了，尽管指纹验证“可能是另一种棘手的情况”。比如，当故障使得指纹读取无法通过时，这可能会让用户更加烦恼，因为用惯了指纹之后，有时会记不起曾经的密码。

Steinberg指出了指纹、虹膜、面部扫描、语音识别等生物识别技术的两个主要缺点。其一，当今社会，不法分子可以很容易地从相关物件中，提取目标人物的指纹、虹膜或声音；其二，一旦发生这种情况，用户断不可能像重置密码那样重置自己的生物特征。

另一方面，McBroom表示，生物识别技术对于那些需要现场验证的设备是非常有用的，比如各大学贵重的实验室。同时，生物识别对于机场而言也是必要的。在以色列，用户能通过AI机器上的生物识别检查护照，这大大减少了时间成本，不像在美国肯尼迪机场，用户往往需要排队一个多小时才能被人工检查。

此外，还有些生物识别技术并不明显。比如行为生物识别技术，其会基于个人输入密码时的按键速度，或基于个人在输入某些字母之间的停顿时间。Steinberg认为，添加一个看不见的识别层，可以将其与密码一起加密和存储，以增强安全性。

用户体验之所以重要，是因为业务的核心竞争力就在用户体验上，体验感越好，用户的需求就越高，业务量就越大，企业因此才能越好地发展。所以业内会反复强调“安全应该围绕业务”，安全不能成为阻挠业务发展的障碍，而是应该让用户感到安心的同时，还能提升用户的好感。

正如国外安全专家说的那样，我们可以在客观角度所“看不到”的地方实施安全性，比如用户的打字速度、惯用的拼写方式、看文字的常用时间、对屏幕的亮度感受等等，作为一种个人的生物特征，这样才能更好地防止威胁行为者进行恶意活动，同样还不会过多地影响用户日常使用。