- Het wijzigen van wachtwoorden: Vaak gehoord maar onnodig. Als aanvallers je wachtwoord niet kennen, is er ook geen reden om het te veranderen.
- Een bron via reverse DNS lookup authenticeren: Veel mechanismen doen een reverse DNS lookup om de afzender van een e-mail te authenticeren, maar dit kan ervoor zorgen dat legitieme mail nooit aankomt, legitieme gebruikers worden gedwarsboomd en dat die uiteindelijk klagen.
- Terugslaan uit zelfverdediging: Alleen militaire organisaties of inlichtingendiensten met toestemming mogen een vergeldingsaanval lanceren. En zelfs als het zou zijn toegestaan, is de aanval niet altijd de beste verdediging.
- Gebruikers over technische zaken laten beslissen: De makers van beveiligingssoftware weten niet eens wat gebruikers moeten doen als hun software de een pop-up waarschuwing geeft. Hoe kun je dan verwachten dat de gebruiker de juiste beslissing maakt? vraagt Cohen zich af. Aangezien niemand dit kan moeten programma's dus stoppen met vragen.
- We kunnen de stekker er bij een incident uittrekken: Er zijn nog altijd mensen die geloven dat ze binnen hun IT-infrastructuur zomaar systemen kunnen platleggen. In een "verbonden" omgeving is dat niet meer zo makkelijk, en zorgt dat er uiteindelijk voor dat bedrijven meer verliezen dan de aanvaller kan winnen.
- Het gebruik van ontdekte lekken als graadmeter: Talloze bedrijven gebruiken nog altijd het aantal gevonden lekken in de organisatie als graadmeter van hun beveiliging. Cijfers zijn zinloos en niet alle lekken zijn hetzelfde.
- Vertrouw wat de leverancier beweert: Geloof het of niet, mensen die beslissingen over de beveiliging maken, geloven wat beveiligingsaanbieders beweren. Zeker producten met teksten als "de laatste bescherming die je nodig hebt", zorgen ervoor dat je failliet zult gaan.
- De NSA gebruikt het, dus kan ik het vertrouwen: De NSA koopt bijna alle beveiligingsproducten om te zien hoe ze die kunnen omzeilen. Ten tweede verzamelt de NSA informatie. Het beste systeem is dat waar alleen zij kunnen inbreken. En als laatste, de NSA vertelt niet waarvoor ze het gebruiken.
- We gebruiken best practices: "Best practices bestaan niet, er is altijd iets dat beter kan. Volgens Cohen zijn de meeste "best practices" de minimale standaard.
- Het is voor uw veiligheid: "Hoe maakt het mij veiliger als je me fouilleert? Dat is helemaal niet voor mijn veiligheid." Hetzelfde geldt voor het afstaan van persoonlijke informatie. Iets wat banken vaak bewaren. "Als je mijn wachtwoord niet kunt beschermen, waarom denk je dan wel dat je mijn persoonlijke informatie kan beschermen? En als je mijn persoonlijke informatie kan beschermen, waarom heb je dan alleen een wachtwoord nodig?"
Het komt er volgens Cohen op neer dat security professionals de verantwoordelijkheid hebben om "bad practices" bloot te leggen en op zo'n manier, dat ze uiteindelijk verdwijnen. "Je mond houden zal de dwaasheid niet stoppen. Verzet je tegen bad practices of anders zullen we er allemaal onder lijden."
bron: security.nl