Credit: 一級玩家
如果有人把密碼這樣寫在座位上,請小心這些人。
這些人通常是你的主管或是發薪水給你的人...
以下故事純屬虛構,如有雷同那就雷同
故事主角:小華
小華是前面故事小彎的好朋友,同時也是一位支援工程師,
小華是個綠乖乖主義者,每次幫客戶上新機都會準備一包乖乖在身上。
而這個故事是小華在跑客戶的辦公室遇到的鬼故事,
那是一個很熱的夏天,大概在外面沒有帶瓶水就會熱死的天氣,
而小華今天要去的客戶是一家靠銀行業務維生的公司,
客戶最自豪的就是我們資安做的很好,銀行都信賴。
而小華進去客戶就直奔客戶 IT 區,一進去就看到其他廠商在協助客戶處理問題,
有 PoC 的也有在 TroubleShooting 的,也有在準備裝機的,也有在等開會的業務。
小華馬上跟對方 IT 接上線然後開始準備開始裝機的過程,由於客戶網路環境複雜,
許多 VM 開通都需要其他部門授權後才會開通,聽起來一切都做的很到位,客戶資安做得很不錯。
但馬上這個想法就被打臉了,獲得授權之後 IT 人員忘記 Server 密碼,
立刻起身問起了隔空喊話問起了另外一位同儕:「OOO 防毒的 Server 密碼多少啊」
同儕:「密碼是qwert!@#$月份
」
小華當場傻眼,原來一個負責全公司的防毒 Server 的管理密碼如此弱的嗎?
弱就算了,你們講密碼不用偷偷說的嗎?小華初步估計全場包含各家廠商至少有6家,
但大家似乎習以為常了,就好像他們完全沒有聽到一樣。
隨後處理完伺服器端,客戶的財務電腦防毒也出現了一些問題,
索性 IT 人員請小華一起協助檢查是什麼狀況,
進入了財務辦公區,在財務的辦公室的白板、電腦或多或少都有幾張便利貼,
而這些便利貼有些寫著網址後面帶有看起來像是帳密的東西,
小華第一次感受到,原來他離轉大筆金額的距離只差了一張便條紙。
先講個經典攻擊案例,EA 公司在 2021 年被駭客攻擊
駭客入侵公司聊天系統騙取了 IT 信任後協助重設 MFA,
一個公司的聊天系統就算是在內部,也不應該直接給予帳密,
我們常常相信聊天軟體的另一端就是你的同事,但真的是這樣嗎?
遇到這種要求或是真的有必要傳輸,應該透過第二個傳輸頻道(e.g. email, 公司 file server)
並加密其中的內容,其中加密的密碼不應該在同一個傳輸方式提到。
例如小華被 A 同事在聊天軟體索取客戶敏感資料,他應該怎麼做?除了確認對方可以有這份資料。
如此做法盡量保證以下事情
回歸到一件事,我們真的需要那麼多組密碼嗎?
人的記憶力有限,加上多人協作可能有需要共享密碼,這些事情就如我們故事一樣,
人會想出許多方式來合規,但是安全性上就降低了。
像是密碼原則太過複雜又要定期變更,導致用固定密碼然後加上月份/日期,
方便不同管理員可以記住密碼不用重複詢問。
這時候可以考慮導入類似特權管理系統,讓員工用自己的員工帳號申請權限後,系統回應對應的帳密或是暫時提升帳號有操作權限。
過多系統要記的密碼太多,每個系統都要一組帳密,只好用便利貼來記住。
善用密碼管理工具並且定義自己的一組 password rule,只要記住密碼管理器的密碼並定期更換就好)
加碼:強烈系統加入 MFA 的驗證機制,當你不能保證每個員工都乖乖的去保護自己的密碼,也無法導入特權管理系統時,加入 MFA 可以大大提升安全性。
MFA 常見 OTP 和裝置驗證