在本周的Converge节目中，Google的Mark Risher告诉我们为什么选择密码的传统智慧是错误的，以及Gmail等平台在保护用户免受网络钓鱼攻击和垃圾邮件发送者攻击时面临的威胁数量不断增加。关于选择更长、更复杂密码的传统智慧随着时间的推移越来越不有效。与此同时，网络钓鱼攻击背后的人也变得越来越好。

Risher是谷歌的产品管理总监，负责谷歌的身份、账户安全和反滥用团队。多年来，Risher的大部分工作是打击不必要的电子邮件，他说，垃圾邮件发送者使用的方法在这段时间里有了很大的发展。他说，一些攻击者仅仅通过对他们的客户进行一些研究，就获得了比过去好得多的结果。

“我的工作就是在我找到你的名字的地方把它从帽子里拿出来，去你的LinkedIn页面，找到一些关于你的事实，”Risher说也许做一点搜索，获取一些其他信息，然后说‘亲爱的凯西，你可能还记得我们几周前在Vox Media见过面，当时你答应告诉我你的社会保险号码，然后你就忘了。你能提醒我一下吗？”

“这听起来很可笑，但确实有效，”瑞舍说我认为这很荒谬，但你可以想象你怎么能做一些更接近的事情，比如‘嘿，我要和你见面了’。提醒我你母亲的娘家姓？“。。。这些社会工程攻击，他们花更多的时间个性化，然后可以产生更大的回报。

Risher告诉我们在Converge上选择密码的更好方法。Converge是一个访谈游戏节目，科技界最伟大的人物告诉我们他们最疯狂的梦想。这是一场很容易取胜，但也不是不可能输掉的比赛，因为在最后一轮比赛中，我终于有了上场的机会，并获得了自己的几分。

Risher自2014年以来一直在谷歌工作，当时他的安全初创公司Nopium被谷歌收购。在此之前，他曾在雅虎工作，在那里他曾为雅虎邮件赢得“垃圾邮件沙皇”的称号。

你可以阅读下面带有Risher的部分、稍加编辑的成绩单，你会在上面找到完整的一集。你可以在这里或其他任何你能找到播客的地方收听，比如苹果播客、Pocket cast、Google Play Music、Spotify、我们的RSS提要，以及任何**优秀播客的地方。

凯西·牛顿：如果我们不稍微吓唬一下人们，那就不是一次关于安全的好讨论。所以我想问，下一个边界是什么？你是否觉得垃圾邮件发送者或国家行为体在哪些领域领先，而技术平台仍在努力跟上？有没有什么东西让你晚上睡不着？

马克·瑞舍：终端用户应该担心的是，我也担心的是，这些针对个人的定制、有针对性的攻击。我们在通信领域的许多不同的地方看到了这一点，我不会严格地将其归类为垃圾邮件。这是一种更有针对性的攻击。

当我提到网络钓鱼时，人们经常想到的是“亲爱的先生或女士，我是一名石油部长，有3500万美元，我想让你帮我卸下。”但这是行不通的。不管我在哪里找到你的名字，你都可以从帽子里取出来，进入你的LinkedIn页面，找到一些关于你的事实，也许做一些搜索，获取一些其他信息，然后说，“亲爱的凯西，你可能还记得我们几周前在Vox Media见过面，当时你答应告诉我你的社会保险号码，然后你就忘了。你能提醒我吗？“我认为这很荒谬，但你可以想象你怎么能做更接近的事情，比如，“嘿，我要去见你。”。提醒我你母亲的娘家姓？“我不知道问题是什么，但这些社会工程攻击，他们花更多的时间进行个性化，然后可以产生更大的回报。

这就是他们对循环中的人的看法。

是的，商业电子邮件妥协尤其可怕。这是一个问题，收件人收到的信息可能伪装成来自公司高管或财务团队的信息说，“给我发送那些税务表格”，这几乎是重复的。它不是“凯西”，而是“卡西”。我只是看不到它，或者它甚至有西里尔字母“E”而不是拉丁字母“E”，所以我甚至认不出这是不同的。

在Gmail中，我们在我们的web客户端以及iOS和Android应用程序中构建了一系列功能，可以识别何时收到来自doppelgänger的消息，这些功能看起来很接近，但实际上并不接近。但这只是我们一直非常关注的许多方面中的一个，我们一直在关注伪装成另一个人并要求获得敏感信息，这是非常非常有益的。

如果我发出1000万份通用伟哥的报价，我可能会得到10个人的响应。我可以把它们卖了，赚一笔很小的钱，基本上就是我的时间。如果我发10条信息，每一条都要求电汇五六位数，那我的时间就值得多了。