iT邦幫忙

2021 iThome 鐵人賽

DAY 4
0
Security

網路奇妙物語 - IT&Security 系列 第 4

鬼故事 - 我的密碼是...

  • 分享至 

  • xImage
  •  

[鬼故事] - 我的密碼是...

https://ithelp.ithome.com.tw/upload/images/20210904/20141165jC5BK1lp29.png
Credit: 一級玩家

如果有人把密碼這樣寫在座位上,請小心這些人。
這些人通常是你的主管或是發薪水給你的人...

故事開始

以下故事純屬虛構,如有雷同那就雷同

故事主角:小華
小華是前面故事小彎的好朋友,同時也是一位支援工程師,
小華是個綠乖乖主義者,每次幫客戶上新機都會準備一包乖乖在身上。

而這個故事是小華在跑客戶的辦公室遇到的鬼故事,
那是一個很熱的夏天,大概在外面沒有帶瓶水就會熱死的天氣,
而小華今天要去的客戶是一家靠銀行業務維生的公司,
客戶最自豪的就是我們資安做的很好,銀行都信賴。

而小華進去客戶就直奔客戶 IT 區,一進去就看到其他廠商在協助客戶處理問題,
有 PoC 的也有在 TroubleShooting 的,也有在準備裝機的,也有在等開會的業務。

小華馬上跟對方 IT 接上線然後開始準備開始裝機的過程,由於客戶網路環境複雜,
許多 VM 開通都需要其他部門授權後才會開通,聽起來一切都做的很到位,客戶資安做得很不錯。

但馬上這個想法就被打臉了,獲得授權之後 IT 人員忘記 Server 密碼,
立刻起身問起了隔空喊話問起了另外一位同儕:「OOO 防毒的 Server 密碼多少啊」
同儕:「密碼是qwert!@#$月份

小華當場傻眼,原來一個負責全公司的防毒 Server 的管理密碼如此弱的嗎?
弱就算了,你們講密碼不用偷偷說的嗎?小華初步估計全場包含各家廠商至少有6家,
但大家似乎習以為常了,就好像他們完全沒有聽到一樣。

隨後處理完伺服器端,客戶的財務電腦防毒也出現了一些問題,
索性 IT 人員請小華一起協助檢查是什麼狀況,
進入了財務辦公區,在財務的辦公室的白板、電腦或多或少都有幾張便利貼,
而這些便利貼有些寫著網址後面帶有看起來像是帳密的東西,
小華第一次感受到,原來他離轉大筆金額的距離只差了一張便條紙。

資安探討

跟同事/廠商傳輸敏感資料怎麼辦

先講個經典攻擊案例,EA 公司在 2021 年被駭客攻擊

駭客入侵公司聊天系統騙取了 IT 信任後協助重設 MFA,
一個公司的聊天系統就算是在內部,也不應該直接給予帳密,
我們常常相信聊天軟體的另一端就是你的同事,但真的是這樣嗎?

遇到這種要求或是真的有必要傳輸,應該透過第二個傳輸頻道(e.g. email, 公司 file server)
並加密其中的內容,其中加密的密碼不應該在同一個傳輸方式提到。

例如小華被 A 同事在聊天軟體索取客戶敏感資料,他應該怎麼做?除了確認對方可以有這份資料。

  1. 確認 A 同事是本人,可以透過只有兩人知道的事情、打通電話等方式確認。例如問:我們昨天一起去吃什麼?
  2. 先告知對方接下來會傳一封 email 附上資料,資料是加密的,密碼是 A 同事的員工編號
  3. 然後小華就可以透過 email 傳輸加密過後的客戶敏感資料

如此做法盡量保證以下事情

  • 對方是本人,透過不同方式確認網路上另一端是本人
  • 避免其中一個通訊頻道被駭客入侵就資料外洩,如 EA 就是 SLACK cookie 被駭客利用

密碼到底如何管理?

回歸到一件事,我們真的需要那麼多組密碼嗎?
人的記憶力有限,加上多人協作可能有需要共享密碼,這些事情就如我們故事一樣,
人會想出許多方式來合規,但是安全性上就降低了。

像是密碼原則太過複雜又要定期變更,導致用固定密碼然後加上月份/日期,
方便不同管理員可以記住密碼不用重複詢問。

這時候可以考慮導入類似特權管理系統,讓員工用自己的員工帳號申請權限後,系統回應對應的帳密或是暫時提升帳號有操作權限。

過多系統要記的密碼太多,每個系統都要一組帳密,只好用便利貼來記住。

善用密碼管理工具並且定義自己的一組 password rule,只要記住密碼管理器的密碼並定期更換就好)

加碼:強烈系統加入 MFA 的驗證機制,當你不能保證每個員工都乖乖的去保護自己的密碼,也無法導入特權管理系統時,加入 MFA 可以大大提升安全性。
MFA 常見 OTP 和裝置驗證

  • OTP 為我們常見例如: google authenticator , 簡訊 2FA (不建議用簡訊作為 2FA)
  • 作者推薦像是 yubikey 這類型的設備,然後買兩組(防止一隻弄丟)
    • 如果覺得 yubikey 太貴 GoTrust 也是不錯的替代方案
    • 現在部分服務也支援手機做 FIDO,但不太通用,希望未來 MFA 這件事成本可以降更低

上一篇
靈異現象 - 此工作站和主要網域間的信任關係失敗
下一篇
靈異現象 - 我改了檔名它就換了一個檔案格式耶
系列文
網路奇妙物語 - IT&Security 30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言