下面就是考試大曾經(jīng)看到過的十個安全錯誤的列表。他們不僅常見，而且是最最基本的，只要有一點點的安全常識，就應該知道不應該犯這么初級的錯誤。
    1. 在沒有加密的電子郵件中發(fā)送敏感信息：絕對不要在沒有加密的電子郵件中發(fā)送密碼、個人識別號碼和帳戶信息。據(jù)我所知，很多人不是太懶惰就是太愚蠢，以至于不對電子郵件進行加密，但我是從不這么做。即使你需要按照他們的要求，通過電子郵件發(fā)送未加密的敏感資料，但這并不意味著你可以這樣對我做，我要求所有的敏感信息必須通過加密才能發(fā)送。
    2. 使用答案很容易被發(fā)現(xiàn)的“安全”問題：社會安全號碼、母親的婚前姓、第一只寵物和生日，這些信息并不足以構成一個核實身份的安全手段。要求用戶為他或者她的密碼指定一個問題，作為重置密碼的一種檢驗手段，是必須保證所有的其它人不能輕松地找到答案，從而進行未經(jīng)授權的訪問。
    3. 密碼的限制過于嚴格：我曾經(jīng)在一些提供類似銀行服務的網(wǎng)站上看到一些例子。它們對密碼的限制過于嚴格，這樣讓實際情況更不安全，并且也是完全不能接受的。六個字符的數(shù)字密碼實在是太基礎了，這樣的密碼只會導致失敗。你可以在以前的文章，“什么是已經(jīng)發(fā)生過的錯誤密碼策略”中找到另一個更詳細的例子。
    4. 讓供應商的界定什么是“良好的安全”：在前面我已經(jīng)說過，相信供應商是一件非常愚蠢的事情。希望你記住這句話。安全產(chǎn)品的供應商真正關心和保護的是自身的利潤和市場份額。也許有時間這會提醒供應商改善其安全產(chǎn)品和服務的狀況，但也有時間結果反而是相反的。因此，你必須質(zhì)疑供應商對“良好的安全”的定義，不能讓供應商告訴你什么最重要。
    5. 低估了所需的安全專業(yè)知識：公司里的實權人員往往不明白安全方面的具體問題。這不僅僅包括了非技術方面的經(jīng)理，實際上IT技術經(jīng)理也經(jīng)常被包括在里面。實際上，象有線等效保密（WEP）不僅僅是一個簡單的加密手段，它是標準工作組中很多很聰明的技術人員共同建立的依靠明確對加密算法的安全標準 ？
    6. 低估了測試的重要性：即使安全方面的專家也不是了解全部，他們也有其專長的領域。同行評議（peer review）是在安全方面被認為是最可靠的保證，只有在外部的安全專家對計劃進行評估后，才能確認它是不是真正的象紙面上描述的那么有效。
    7. 高估的加密重要性：許多安全軟件開發(fā)商經(jīng)常犯的錯誤就是低估測試的重要性，而高估了加密的重要性。他們在形式上進行了同行評議，但更多的關注是放在了安全策略上。而安全研究中最根本的柯克霍夫原則中已經(jīng)指出，任何制度的安全依靠的都是系統(tǒng)本身的設計，而不是添加的安全策略。
    8. 識別要求很容易被偽造：凡是涉及到的傳真簽名、或發(fā)送影印或掃描身份證的安全措施，基本上都只是一個擺設；在這種情況下，不可能會有真正的安全。因為，到目前為止，副本實在是太容易被偽造了。實際上，象簽名和身份證這樣的驗證手段，的出路是提高副本的質(zhì)量。換句話說，就是只有副本不能被偽造，才能保證安全的有效。
    9. 不必要的重復：很多情況下，安全商提供的所謂的新軟件，實際上已經(jīng)存在了，并沒有什么真正的理由顯示必須這么做。許多軟件供應商的新軟件并沒有什么更新的功能和需求。新軟件往往沒有進行足夠的測試，這樣的話，會有很多錯誤的存在。因此，在安裝新的軟件之前，考慮為什么要這樣做，這樣會帶來什么好處是最重要的。并且，要了解是不是可以在已有軟件上安裝補丁就可以達到相同的效果，從而不必重新創(chuàng)建全新的替代系統(tǒng)。
    10. 為了所謂的安全感放棄安全：這是一個非?；闹嚨腻e誤，我都沒有辦法進行解釋。它也是如此的普遍，以至于我不能將它移出列表。人們將自己的私人隱私領域向任何告訴他們“相信我，我是一個專家”的人開放，并且他們這樣做是心甘情愿地，熱切地，而且往往不進行思考。 “證書頒發(fā)機構”告訴你誰應該被信任，從而剝奪你對信任的決定權；電子郵箱服務供應商提供對服務器的加密和解密，從而剝奪你選擇端對端加密以及控制自己的密鑰的權力；操作系統(tǒng)未經(jīng)你的同意決定如何執(zhí)行，從而剝奪你保護自己免于受到移動惡意代碼的能力。不要放棄自己對安全的控制，而托付給第三方。當然，你不能自己編寫一個良好的安全工具或者安全策略，但這并不意味著這個工具或者策略可以擺脫你的控制，自行其事