RSA：当安全专家搞砸了

当安全专家搞砸了

在旧金山举行的RSA大会上的时候，SecurityWatch团队一直在询问一些安全领域的大人物，以防他们失误。 这是一个令人发醒的提醒，我们都是人，也是一些安全基础知识的很好的复习。

忘记与原谅（自己）

当被问到关于他搞砸的时间的“ screw悔”时刻时，白帽公司的创始人兼首席技术官耶利米·格罗斯曼（Jeremiah Grossman）不必三思而后行，就可以算出他几乎丢失了所有加密数据的可能性。 不是为了黑客，不是为了监视政府机构的工作，而是简单的健忘。

格罗斯曼（Grossman）已经在白帽（White Hat）的博客上详细叙述了这一痛苦的插曲，但在再次叙述时苦恼。 作为一个安全意识强的人，他竭尽全力保护自己的数据。 他解释说：“我的目标是攻击。这就是为什么他将所有信息存储在加密的虚拟驱动器上的原因。 格罗斯曼说：“ AES-256加密货币。” “ NSA级的东西。” 问题是，有一天他发现自己根本忘记了密码。

这不是一个简单的密码。 格罗斯曼（Grossman）说，他拥有一套思维系统，这意味着他可以拿出非常长的密码，而不必写下来。 除了最需要的一次，格罗斯曼发现他无法完全忘记该关键密码。 他说：“我知道我离六个字符不远。”

最终，格罗斯曼得到了开膛手约翰（John the Ripper）的创建者的一些帮助，他们能够破解他的密码并恢复他的数据。 可以肯定的是，这是一次令人沮丧的经历，它说明了为什么备份物理密码会很有用。

耻辱将持续到士气改善为止

在另一方面，Lookout的高级产品经理Derek Halliday讲述了该公司执行安全计算实践的独特方法。 Lookout为Android生产了一个移动安全套件，该套件去年赢得了PC Magazine编辑的选择。 但是，该公司似乎有一个自身的安全问题，即员工仍在登录时不理会他们的计算机。

尽管在办公室环境中这似乎是一个小问题，但这确实意味着任何人都可能来窃取敏感信息。 或者，更糟糕的是，将一些恶意软件添加到了负责保护数百万移动用户的系统中。

Lookout所采用的解决方案既优雅又残酷。 任何员工在发现不安全的计算机时，都可以向上走并将电子邮件从计算机发送到特殊的内部列表，该列表在公司范围内进行广播，并向计算机所有者发送可责备的消息。 这公开宣布了谁搞砸了以及如何搞砸了，使罪犯成为名副其实的海斯特·普林。

尽管Halliday并未透露自己是如何参与或是否参与其中的，或者是否可行，但他确实同意我的结论，即负面强化非常有效。 但是，这是我希望PC Mag不决定进行测试的一项安全技术。

请确保及时了解RSA的更多最新帖子！