图片来源：Sёbastien Thibault

我们已经有太多计算机学家进行网络安全工作，但没有足够的心理学家和经济学家。

无论你怎么解释网络犯罪，Angela Sasse说，“受害者总是愤怒地指责客户服务”。

Sasse正在谈论的是勒索软件：黑客使用一种敲诈程序加密用户电脑数据，然后向用户索要金钱换得能解锁的数字钥匙。受害者会收到详细的付款流程和钥匙使用指南。如果他们遇到技术难题，对方提供24小时电话服务。

“这比他们从网络供应商那里得到的服务更完善。”英国伦敦大学学院网络安全研究所所长、心理学家和计算机学家Sasse说。她提到，目前的网络安全挑战简言之就是：“攻击者遥遥领先于防御者，这让我非常担忧。”

现在，黑客早已不仅仅主要是寻求刺激的青少年和大学生：他们已经变得更有经验。“激进黑客”组织已经开始攻击高调的恐怖分子和社会名流。有统计显示，网络犯罪使得全球经济每年损失3750亿~5750亿美元。

越来越多的研究人员和安全专家意识到，他们不能仅靠建造更高更强大的防火墙应对挑战。他们还需要找出防火墙内部的问题，例如密码薄弱或点击可疑邮件等人为问题，这些问题与约1/4的网络安全失效有关。他们还必须跟踪支持黑客的地下经济，并找到反击的弱点。

“我们已经有太多计算机学家进行网络安全工作，但没有足够的心理学家和经济学家。”美国国土安全部网络安全研究主管Douglas Maughan说。

但这正在迅速改变。在过去5年间，国土安全部等机构正加大其在网络安全人为方面的经费。今年2月，美国总统奥巴马提议将网络安全2017财年经费提高190亿美元，并首次将人为因素研究纳入优先项。

其他国家也纷纷展开行动。在英国，Sasse的研究所获得380万英镑经费，研究该国商业、政府和其他机构的网络安全。“将人为因素纳入网络安全是前沿的。”她说。

人性弱点

想象一下，在忙碌的工作日，你收到一封看似合法的邮件：公司的计算机安全团队发现安全漏洞，每个人都必须立即进行电脑扫描寻找病毒。“大家倾向直接点击接收而非认真阅读。”英国巴斯大学社会心理学家Adam Joinson说。但这是一封伪装邮件，一旦点击接收，恶意软件将进入公司网络，进而盗窃密码和其他数据。

看上去黑客比防御机构更能抓住用户的心理。在案例中，攻击成功取决于人们对权威的遵从心理，而且在忙碌和烦躁的状态下，人们的怀疑能力也降低。而到目前为止，采用密码是最简单、最普遍的证明用户身份的方法。2014年，Sasse和同事研究发现，美国国家标准与技术研究所（NIST）平均每天出现23个“身份验证事件”，其中包括重复登录电脑和15分钟不使用后的自动锁定。此类要求大量耗费了员工的时间和精力。

在另一个密码研究中，该研究小组记录了大型跨国组织员工回避官方安全要求的方法，包括将密码写下来或利用非加密的闪存盘传输文件。这实际上造成了工作流程中的“安全阴影”。“大多数人的目标不是安全，而是完成工作。”英国谷歌研究院安全研究专家Ben Laurie说，“如果他们需要跳过太多障碍，他们会说‘让它见鬼去吧’。”

研究人员已经找出诸多解决员工和安全管理者之间僵局的方法。Lorrie Cranor领衔的美国卡耐基·梅隆大学网络隐私和安全实验室，就正在寻找使密码政策更加人性化的方法。

“六七年前，我们就开始这项工作了。当时卡耐基·梅隆大学将密码要求变得十分复杂。”现任美国联邦商业委员会首席工程师的Cranor说。该校表示正试着统一NIST的标准密码规范。但Cranor调查发现，这些规范主要基于理论推测。它们并非基于数据，因为没有机构希望透露用户的密码，“因此，我们说，‘这是一项研究挑战’。”

是时候作出改变了

Cranor团队测试了一系列密码政策。他们要求卡耐基·梅隆大学的470位计算机使用者基于不同的密码长度和特殊符号要求生成新密码。然后，他们测试了密码的效果、制定这些密码的难度、记忆难度和该系统对使用者的困扰。“使用者处理密码长度比复杂性更容易。”Cranor说。

另外，如果研究人员破解了一个密码，他们往往在很短的时间里就能猜出用户的新密码，原因是用户在被迫修改密码时往往只在原密码的基础上作细小改动。例如，用户会将“secret10jan”改为“secret10mar”。“同样，如果黑客能猜到你的密码一次，他们可能会很容易地猜到新密码。”

而且，强迫用户定期更改密码“可能实际上弊大于利”。相比强迫用户更改密码，更好的做法是让用户使用较长的密码，并迫使他们使用一些非字母字符。要提高用户的密码安全性，教育比强迫更好。

Cranor指出：“如果用户知道他们将不得不定期更改密码，他们往往不会在一开始就设置安全度很强的密码，而且可能会把密码写下来。”如果用户被要求设置一个长期使用的密码，他们就可能会设置一个安全度很强同时也难以记住的密码。如果他们被要求设置只能使用3个月的密码，他们就更有可能设置相对简单因而也容易破解的密码。

虽然，密码政策存在诸多不合理之处，但Sasse表示，“去年，英国政府通信总部（GCHQ）改变密码的建议是个里程碑”。GCHQ发布了一份公文，表示放弃定期修改密码和敦促管理者尽可能让用户遵循其规定等长期惯例。

另一方面，如果研究能发现用户的行为弱点，或许也能找到攻击者的弱点。

了解对手

加州大学圣迭戈分校计算学家Stefan Savage和同事建立了一个计算机簇，扮演所谓的“最易受骗的消费者”。这些机器收到了反垃圾公司收集的一些垃圾邮件,并点开了能找到的每个链接。研究人员将焦点放在了非法药物、假冒手表和提包、盗版软件上——这是垃圾邮件最常有的广告。

然后，他们使用专门设计的软件追踪了垃圾邮件的供应网络。如果非法贩卖者在这里注册了域名，并支付给供货者费用，研究人员将能看到。该研究首次曝光了电脑犯罪的整个商业链条，并揭示了其惊人的复杂结构。

“这是怪异的企业新理念的最终温床。”Savage说，“这是你能想象的小商业资本的纯粹形式，因为这里没有任何规则。”而且，尽管垃圾邮件的回复率非常低，但大规模的发送垃圾邮件每年可创造高达数百万英镑的盈利。但垃圾邮件制造者本身也易受攻击，因此造成发送垃圾邮件成本偏高。

“你自己不会发送垃圾邮件。”Savage说，于是寻求专业人士，“他们收取购买价的30%～40%”。但该垃圾邮件发送的响应率远低于合法的直投机构公布的平均2.15%的响应率。

但遗憾的是，追踪这些地下经济体不能帮助执法机构逮捕罪犯，他们的现实身份隐藏在网络假名背后。而且，这些犯罪网络基础设施恢复力极强。

不过，科学家还揭露了一些能更有效打击地下经济的方法。Savage和同事发现，该链条最薄弱的一环是银行将信用卡支付的费用转到利润中心的过程。有规定指出，银行必须担保信用可消费是合法的，并有义务在客户投诉时为他们追回资金。没有银行愿意承担此类风险。“95%的垃圾邮件只用3家银行。”它们分别位于阿塞拜疆、拉脱维亚以及圣基茨和尼维斯。

这也并非永久手段。因为垃圾邮件发送者将使用的银行正逐渐转移到西方公司和执法机构够不到的地方。但卡耐基·梅隆大学计算机工程师Nicolas Christin表示，在网络世界，每一笔交易都有数字痕迹，尤其是需要支付的地方。“对于经济学家而言，这非常有用。”

“我们正着手研究。”Christin说，但数据流能帮助计算机学家、社会学家和执法机构协同行动。（张章）