星期天上午,小明接到主管的電話,說他寄了一封重要的email到小明的信箱。小明趕忙開手機收信,哇!?收信APP出現訊息,說他的密碼已到期,要先更新密碼才能登入。但是用手機要如何更改公司帳號的密碼呢?平常密碼到期,他都是以公司的桌機處理。當初以手機收發公司email的設定,都是IT部門幫忙處理,現在只好再打電話給IT部門的人了。
如果你在IT部門工作,你或許在假日接過這樣的電話。定期更新密碼已成為資訊安全的基本措施,但你是否想過,為什麼是每90天要更新密碼呢?咦,大家不是都這麼作嗎?
一般來說,公司員工會在週一至週五的工作日設定密碼,如果不考慮節慶假日的話,週一或週二設定密碼者,90天之後的密碼到期日會落在週六或週日。假設公司員工有1000人,則估計平均會有10-20人的密碼到期日會落在週六或週日。這些員工就可能在假日打電話給IT部門,或者是待週一上班日再處理。根據過往經驗,IT部門在週一會接到大量密碼更新或是密碼遭到鎖定的處置需求,形成IT服務的「尖峰時刻」。
如果將密碼到期天數設為7的倍數,比方說91天或84天,在不考慮節慶假日情況下,密碼到期日會落在週一到週五的工作日,如此就可以減少週一尖峰時刻的現象。這種改變不僅減輕IT部門的工作負荷,避免使用者的困擾,而且不致影響定期更換密碼的作用。根據我們實際的經驗,將密碼效期從90天改為98天後,每週一IT服務人員的工作量約減量20%。
密碼效期設為90天的作法,突顯了現行諸多資安防護措施只是基於慣性盲從,缺乏以現場實作經驗為基礎的IT維運思考。我們認為,任何以資安防護為訴求的措施,在設計及落實到現場之前,應該充分考量使用者的操作習性、可能的副作用,及IT部門的維運負荷等因素。當然,更重要的是要能務實地評估這類措施的實際效益,而非囫圇吞棗,不加思索。即便是法規要求事項,也應該充分理解辨識其正反效應,並就組織的特性及需求加以調適後,再予採行。
至於設定密碼效期的作法,是否真有助於資安防護效果,則又是另一話題了。