信息安全从来不是纯技术的范畴,从目前的现状来看,大多数的攻击都借助了非技术的手段。像著名的社会工程攻击。
对于一个商业系统而言,复杂的安全验证对于用户来说并不一定代表安全,反而会增加用户受到非技术手段攻击的可能性。用户需要的是一个简单易用的系统和服务。
同时对用户和员工安全意识的教育不容放松。再好的安全系统也不能阻止用户访问钓鱼网站和点击垃圾邮件中的恶意网站的链接。
在设计安全系统的同时,要充分考虑到用户的使用习惯和系统的可用性。不能纯粹的从技术角度考虑系统的安全性。要求用户记住一个16位的高强度密码是不现实的,而频繁的更换密码也未必会带来更高的安全性。