相信各位MIS夥伴都有發現公司員工並未妥善保管帳號密碼的經驗。也許你在同事電腦裡C:\Users\user\Documents 看到 Password.txt；或者在鍵盤下發現一張便條紙寫著登入密碼；甚至有人直接把寫著密碼的便條紙貼在電腦螢幕旁邊。我們往往把這些隨意洩漏帳號密碼的事情，當作茶餘飯後的IT笑話。那麼我們自己又是如何管理帳號密碼呢？

MIS人員的帳號往往比一般使用者有更高權限，同時也知道一些特殊權限的帳號密碼，例如Domain Administrator 或同等存取權限的特殊帳號，這些特殊權限帳號的存取、使用一向是資訊安全的一大課題。而有些時候，我們又不得不分享這些特殊權限帳號，例如：公司雇用一名Consultant顧問來專門升級伺服器上的業務軟體，依照作業流程，應該要由一名MIS人員跟著這位外聘顧問，每當需要輸入帳號密碼，都是由MIS人員輸入，然而實際情況卻往往是MIS人員「信任」顧問，自己去忙別的事情，將帳號密碼交給顧問方便作業；按照程序，如果該名顧問必須知道密碼，當升級結束顧問離開時就應該馬上重設密碼，但是MIS有可能忘記重設，或者遺漏而沒有重設所有的密碼；而顧問拿到帳號密碼後是否確實地執行工作？還是有更改到一些超出工作內容的範圍呢？

之前公司有伺服器在AWS上，每次外聘顧問要在AWS上的伺服器工作，都必須先EMAIL通知我們(還要等我們看到EMAIL)，由一名MIS人員開啟TEAMVIEWER讓顧問連進一台電腦，再從那台電腦連到AWS上的伺服器。顧問在工作的同時，那名MIS人員就只能坐著看顧問在螢幕上動來動去。有一次我發現這個情況，笑問同事：「萬一你要去廁所或吃午餐怎麼辦？」同事回答：「沒辦法，只能等著。而且如果是非正常上班時間顧問要到AWS上的伺服器工作，我們也無法配合。」姑且不論這樣使用TEAMVIEWER來連線是否安全，如此耗費一個人力，最最可怕的是：MIS人員可能要記住上百組不同的帳號密碼，每次重設都要花時間重新記憶，如果為了方便而使用類似或相近的密碼，那反而降低帳號的安全性(尤其這些是特殊權限帳號更應謹慎小心處理)，該如何兼顧安全性與便利性呢？

*來自網路截圖

當我發現這個問題，便研究如何去降低潛在風險。我的解決方案是應用Privilege Access Management (PAM) 軟體。有的廠商會定位為Privilege Session Management或Privilege Identity Management，其中功能有些微差異，但是大致上都具備以下特色：

1. 有完整的申請紀錄和登入紀錄，清楚記載何時何地(那台電腦或伺服器) 。例如員工A 申請要使用帳號Administrator在伺服器C上，使用期限為兩小時，由主管 B 同意 approve。從申請、同意、發放、到收回權限皆有跡可循。
2. 只能申請自己允許範圍內的帳密。除非由更高層主管(同意並)分派，每當員工A登入PAM，只會看到自己允許執行的帳號。
3. 可以在每次申請期限過後，或者每30天、90天等自動重設密碼。如此每當外聘顧問申請期限結束，密碼便會自動重設。
4. PAM軟體可以設置不顯示該帳號密碼，以該帳號直接開啟RDP或SSH Terminal 到伺服器。這項功能堪稱密碼健忘症救星，從此完全無須背一堆特殊權限密碼，只要登入PAM軟體，直接RDP到伺服器；如果登入後再需要密碼，可以另外申請顯示密碼 (可能需要另一次主管同意Approve)
5. 紀錄、錄影或直接監控RDP或SSH Terminal Session。每次從PAM軟體開啟的RDP或SSH Terminal Session都可以有錄影存檔，或者由管理員登入在幕後直接監控RDP或SSH Session，甚至發現奇怪的行為，可以直接中斷Session。

「我說的不是那種肉眼看不見的資料還是數字排列，只要按下重新設定鍵切斷電源就會消失的東西。而真正重要的是記憶。不管切斷幾次電源，或是燒掉保險絲都不會消失。」--坂田銀時《銀魂》

以上是自己對應Privilege Access的經驗分享，相信每間公司的政策和方法程序都不同，您又是怎麼控管特殊權限帳號呢？歡迎留言分享。