[鬼故事] - 我的密碼是...

Credit: 一級玩家

如果有人把密碼這樣寫在座位上，請小心這些人。
這些人通常是你的主管或是發薪水給你的人...

故事開始

以下故事純屬虛構，如有雷同那就雷同

故事主角：小華
小華是前面故事小彎的好朋友，同時也是一位支援工程師，
小華是個綠乖乖主義者，每次幫客戶上新機都會準備一包乖乖在身上。

而這個故事是小華在跑客戶的辦公室遇到的鬼故事，
那是一個很熱的夏天，大概在外面沒有帶瓶水就會熱死的天氣，
而小華今天要去的客戶是一家靠銀行業務維生的公司，
客戶最自豪的就是我們資安做的很好，銀行都信賴。

而小華進去客戶就直奔客戶 IT 區，一進去就看到其他廠商在協助客戶處理問題，
有 PoC 的也有在 TroubleShooting 的，也有在準備裝機的，也有在等開會的業務。

小華馬上跟對方 IT 接上線然後開始準備開始裝機的過程，由於客戶網路環境複雜，
許多 VM 開通都需要其他部門授權後才會開通，聽起來一切都做的很到位，客戶資安做得很不錯。

但馬上這個想法就被打臉了，獲得授權之後 IT 人員忘記 Server 密碼，
立刻起身問起了隔空喊話問起了另外一位同儕：「OOO 防毒的 Server 密碼多少啊」
同儕：「密碼是qwert!@#$月份 」

小華當場傻眼，原來一個負責全公司的防毒 Server 的管理密碼如此弱的嗎？
弱就算了，你們講密碼不用偷偷說的嗎？小華初步估計全場包含各家廠商至少有6家，
但大家似乎習以為常了，就好像他們完全沒有聽到一樣。

隨後處理完伺服器端，客戶的財務電腦防毒也出現了一些問題，
索性 IT 人員請小華一起協助檢查是什麼狀況，
進入了財務辦公區，在財務的辦公室的白板、電腦或多或少都有幾張便利貼，
而這些便利貼有些寫著網址後面帶有看起來像是帳密的東西，
小華第一次感受到，原來他離轉大筆金額的距離只差了一張便條紙。

資安探討

跟同事／廠商傳輸敏感資料怎麼辦

先講個經典攻擊案例，EA 公司在 2021 年被駭客攻擊

駭客入侵公司聊天系統騙取了 IT 信任後協助重設 MFA，
一個公司的聊天系統就算是在內部，也不應該直接給予帳密，
我們常常相信聊天軟體的另一端就是你的同事，但真的是這樣嗎？

遇到這種要求或是真的有必要傳輸，應該透過第二個傳輸頻道(e.g. email, 公司 file server)
並加密其中的內容，其中加密的密碼不應該在同一個傳輸方式提到。

例如小華被 A 同事在聊天軟體索取客戶敏感資料，他應該怎麼做？除了確認對方可以有這份資料。

1. 確認 A 同事是本人，可以透過只有兩人知道的事情、打通電話等方式確認。例如問：我們昨天一起去吃什麼？
2. 先告知對方接下來會傳一封 email 附上資料，資料是加密的，密碼是 A 同事的員工編號
3. 然後小華就可以透過 email 傳輸加密過後的客戶敏感資料

如此做法盡量保證以下事情

• 對方是本人，透過不同方式確認網路上另一端是本人
• 避免其中一個通訊頻道被駭客入侵就資料外洩，如 EA 就是 SLACK cookie 被駭客利用

密碼到底如何管理?

回歸到一件事，我們真的需要那麼多組密碼嗎？
人的記憶力有限，加上多人協作可能有需要共享密碼，這些事情就如我們故事一樣，
人會想出許多方式來合規，但是安全性上就降低了。

像是密碼原則太過複雜又要定期變更，導致用固定密碼然後加上月份/日期，
方便不同管理員可以記住密碼不用重複詢問。

這時候可以考慮導入類似特權管理系統，讓員工用自己的員工帳號申請權限後，系統回應對應的帳密或是暫時提升帳號有操作權限。

過多系統要記的密碼太多，每個系統都要一組帳密，只好用便利貼來記住。

善用密碼管理工具並且定義自己的一組 password rule，只要記住密碼管理器的密碼並定期更換就好)

加碼：強烈系統加入 MFA 的驗證機制，當你不能保證每個員工都乖乖的去保護自己的密碼，也無法導入特權管理系統時，加入 MFA 可以大大提升安全性。
MFA 常見 OTP 和裝置驗證

• OTP 為我們常見例如: google authenticator , 簡訊 2FA (不建議用簡訊作為 2FA)
• 作者推薦像是 yubikey 這類型的設備，然後買兩組(防止一隻弄丟)
  • 如果覺得 yubikey 太貴 GoTrust 也是不錯的替代方案
  • 現在部分服務也支援手機做 FIDO，但不太通用，希望未來 MFA 這件事成本可以降更低