iT邦幫忙

0

週期性變更密碼!要如何實踐並掌控所有人員變更密碼的歷程呢?

牛哥 6 月前3929 瀏覽

資安都嘛要求要定期變更密碼?
我也很想確實執行~
BUT,一想到之前曾一執行就哀聲遍野!
其至連我的系統服務也差點因為改了系統管理員密碼而開不起來......

好為難啊~
來這裡徵詢一下各位先進,該如何是好呢?
/images/emoticon/emoticon02.gif

看更多先前的討論...收起先前的討論...
牛哥 iT邦研究生 3 級 ‧ 6 月前 檢舉
邦友之前有過一篇類似的問題!
http://ithelp.ithome.com.tw/questions/10002211
M~
感覺最佳解答的內容,沒有很令人滿意!
這問題很挨踢,應該很有挑戰性。
有請高人出山指點迷津囉~
蟹老闆 iT邦大師 2 級 ‧ 6 月前 檢舉
這個問題確實是二難,如果可以導入個人憑證應該會好一點吧,
hon2006 iT邦大師 1 級 ‧ 6 月前 檢舉
如果是ad,有很多系統都可以管理,不過付費的功能比較多
https://www.manageengine.com/products/ad-manager/windows-active-directory-password-reports.html
窮嘶發發發 iT邦高手 1 級 ‧ 6 月前 檢舉
MIS 絕對不能去紀錄個人密碼,而且需要使用個人帳號,都必須先通知當事人及其主管
這是我們公司的做法,至於變更密碼,公司人數少,都是我自己改好再通知用戶新密碼
而且我這邊一改,用戶的手機馬上就會收到通知,不管是 GMAIL 或是 GOOGLE 市場,馬上就會進不去了
這樣他們就會知道密碼更改時間到了,自然會打電話問我新密碼,然後再自己記住新密碼了
牛哥 iT邦研究生 3 級 ‧ 6 月前 檢舉
感謝WWX的答覆!
對於個資法的規範,當然要小心應對,以免觸法。
只是企業提供設備給員工使用,管控使用帳密,是否也納入個資法範圍內呢?
這場情有點像監控員工的電子郵件,也許電子郵件有涉及個人隱私,但也可能危及公司機密,故仍會列入監管。
wwx iT邦研究生 1 級 ‧ 6 月前 檢舉
密碼本身無關內容不會與公司機密有關,但為便於個人記憶通常還是會用一些與自己隱私相關的方式和組合,所以以前有公司要人家寫密碼條幫忙設定的我都會填那種就讓你知道沒關係的12345,如果使用的系統是可以明碼就查看密碼的,也是一樣...沒有資安基礎,密碼只是君子的業障重

2 個回答

2
raytracy
iT邦大神 1 級 ‧ 6 月前
最佳解答

先釐清一個:
儲存密碼內容明碼儲存變更密碼歷程 是兩件不同的事情.

儲存密碼內容明碼 (明碼是指將使用者敲入的字元原封不動的儲存起來) 這件事明顯違規, 因為只要被找到儲存的內容, 密碼就全都露. 上述被要求變更方法的各單位, 是因為「儲存明碼」而違規, 並非因為儲存「歷程」而違規.

但是「歷程」本身跟密碼內容無關, 就算有人知道某個人幾月幾號幾點改過密碼, 他仍然無法得知或是推算密碼內容, 因此不論儲存多少次歷程, 都不見得會產生資安風險.

另外附帶說一個: 就算儲存密碼的明碼, 也跟個資無關. 個資定義如下:

定義如下: 一、個人資料:指自然人之姓名、出生年月日、國民身分證統一編號、 護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、 基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會 活動及其他得以直接或間接方式識別該個人之資料。

以上不包含密碼....密碼應該算是「授權資訊」, 不是個資

好, 接下來討論: 到底需不需要定期變更密碼?

最近確實有研究聲音說: 定期變更密碼無法降低密碼被破解的風險.

我個人認為, 上述的研究結果, 僅侷限在: 使用暴力破解法 (Brute Force) 這一種方式而已. 因為對暴力破解來說, 不論密碼怎麼變, 他破解的機率變化並不大, 所以你換來換去, 只要時間夠長, 仍然破得開.

但是破解並不僅限於技術上, 很多場合都是用「社交工程」的方式取得. 很多人慣用生日/手機/紀念日...等等易記的方式組合密碼, 這些就很容易被社交工程所取得.

我最近幫幾家有個資外洩的電商做資安防禦, 與檢調單位合作之後才驚覺: 原來現在詐欺集團已經進步到會用大數據來推算你的個資了. 他們可能受限於技術無法取得完整的個資, 但會去黑市蒐集各種不同來源的個資資訊, 然後把各種片段的資訊拼湊起來, 最後可以還原出正確的個資.

同樣的, 如果你的密碼是上述那些方式的話, 有心人可以利用各種片斷的資訊去拚湊, 再透過密集的猜測, 找到正確的密碼.

所以, 定期變更密碼是否有效?

嚴格說應該沒有甚麼效果. 因為如果你的密碼組合都跟人身資料相關, 或是字典組合的話, 怎麼換, 都很容易被猜出來. 但是, 如果你是那種: 會把密碼寫下來, 或是把密碼告訴別人的話, 換密碼可能有用.

你還要回頭幫稽核想一個問題:

是要稽核 你有沒有換過密碼 , 比較容易?
還是
稽核 你的密碼內容有沒有避開風險 , 比較容易?

後者幾乎不可能, 因為密碼既然不能告訴別人, 那叫稽核怎麼去看內容?
所以, 退而求其次, 改要求你經常更換密碼, 至少有做到一點點風控, 比完全不要求換密碼要減少一些風險......

牛哥 iT邦研究生 3 級 ‧ 6 月前 檢舉

/images/emoticon/emoticon02.gif

牛哥 iT邦研究生 3 級 ‧ 6 月前 檢舉

感謝大師指點!
我心底有數了~
/images/emoticon/emoticon32.gif

0
wwx
iT邦研究生 1 級 ‧ 6 月前

標題所述行為已違法~

掌控所有人員變更密碼的歷程

以個人而言每改一次密碼代表被記錄起來,嚴重侵犯個人隱私!
市面上許多曾有這種要求的系統都已經修正(玉山,摩根,PChome...)!
個人見解:

  1. 密碼不宜強迫變更(新改的密碼也可能剛好快被猜到了...)
  2. 密碼不宜紀錄並要求變更時不能重複(用戶的常用密碼或密碼組合習慣反而有被竊取的風險)
  3. 密碼不宜有太多制式規定(強迫要有兩個字母或英數組合等等...透過這些規定猜測法也已經排除了大部分不需要的猜法了!)
  4. 密碼設定與判讀的輸入提供方式要一致,例如聯邦設置的地方允許輸入小寫,但登入的地方只能輸入大寫,所以很多人改完就GG了!ID的部分則是設置的地方只能大寫,登入的地方卻可輸入大小寫,不知道設置時被轉成大寫的人一直輸入小寫所以登不進去也是GG!
  5. 偵測系統提供訊息或建議給用戶算是比較妥善的,大家應該有發現,特別是網銀,已經都改成有登入系統就發mail通知,這不就是良性的自我檢視cycle了嘛!反觀信用卡還有很多刷卡不提供即時通知的,若要通知需達消費門檻或付費,而會被盜刷的都是這種,資安何在呢?呵呵!

多的是例子啊...

看更多先前的回應...收起先前的回應...
牛哥 iT邦研究生 3 級 ‧ 6 月前 檢舉

/images/emoticon/emoticon04.gif

hon2006 iT邦大師 1 級 ‧ 6 月前 檢舉

好多mis都被關起來了

streit iT邦新手 4 級 ‧ 5 月前 檢舉

想借這個問題再提問:
公司規定定時換密碼,無可厚非。如果還有這個規定:

  • 強制密碼歷史 10個(不能使用之前最近使用的 10 個密碼)

請問如果不存明碼,有什麼方式可以達成?
也就是說,是否這樣就算違法了? 是哪一項法條(大概)?
謝謝。

wwx iT邦研究生 1 級 ‧ 5 月前 檢舉

看一下個資法吧!
http://law.moj.gov.tw/LawClass/LawAll.aspx?PCode=I0050021

密碼裏很常會隱含生日證號連絡方式等...
如果系統又不允許使用之前最近使用的數個,
使用者就能主張並證明系統有儲存他的個資了!

然後
強制密碼歷史10個如何說服是合理利用?
強制密碼歷史10個如何證明有更安全?
因為法條沒有明文規定可以這樣做(強制密碼歷史保存)大致上就很容易被判是違法了!
發生狀況或爭議時真的告上法院就很不好玩了...
如果影響當事人權益又一方能舉證一方無能舉證想是會更香菇了...

可以試著辯解看看,雖然本人不是學法律的,但稍微查詢一下應當都可以解釋到令人啞口無言喔!

我要發表回答

立即登入回答