行不通的安全方法No.5：密码强度无法保护你

这是经常听到的安全口头禅：创建一个高强度密码，并且定期更换。但事实上，很多用户在多个网站和安全领域使用相同的密码，并且用户还可能向随机电子邮件透露他们的密码，很多最终用户根本不那么关心他们的密码安全。

现在更大的问题是，大多数攻击者也不在乎安全密码。他们诱骗最终用户运行木马程序，然后获得管理员权限，获取密码哈希值。

行不通的安全方法No.6：入侵检测系统无法确定攻击者意图

入侵检测系统(IDS)是你愿意相信的安全技术类型。你定义了一堆“攻击”签名，如果入侵检测系统检测出网络流量中存在相关字符串或者行为，它就会发出警告或者阻止攻击。但与其他安全技术一样，入侵检测系统并没有那么好用。

首先，没有办法将所有有效的攻击签名堆在你的企业中。最好的入侵检测系统可能包含数百个签名，但存在数以万计的恶意程序企图攻击你的系统。你可以自己向IDS添加数以万计的签名，但这回减慢所有监控的流量。另外，IDS已经出现很多误报时间，所有警报都被像防火墙日志那样处理：被忽视和未读。

IDS的失误是因为大多数攻击者都搭载合法访问中。IDS如何能够分辨CFO查询其财务数据库和国外攻击者使用该CFO的计算机访问相同的数据库呢?它们不能，根本没有办法判断查询的意图。

行不通的安全方法No.7：PKI已经被破坏

公共密钥基础设施很好用，但问题是很多PKI并不安全，而且大多被忽略，甚至当它们在公共部门完美运行的时候。

在过去一年或者两年中，我们已经看到几个合法公共证书办法机构遭到攻击，使攻击者能够访问其签名密钥，这原本应该是最需要受到保护的信息，并且，攻击者能够发布欺诈密钥来用于其他攻击。

即使PKI仍然强大和完美，人们并不在乎。大多数最终用户当看到浏览器警告说“数字证书不可信任”时，他们仍然会点击“忽略”按钮。他们很高兴地绕过安全带来的不便，并继续流浏览网页。

部分问题在于使用数字证书的网站和程序并没有认真对待数字证书，导致每天都会发生证书错误消息。而如果最终用户不忽略数字证书错误信息的话，他们将无法继续其网络生活，有时候包括远程访问其自己的工作系统。浏览器供应商可以对数字证书错误进行整治，使网站或者服务不会出现任何错误，但客户可能会选择另一个浏览器。最终，每个人都愉快地忽略我们的公共密钥系统，大家都不在乎PKI。

(责任编辑：)