全球性的資料外洩事件仍頻發生,企業多上緊發條,重新審視企業內部資訊安全網的建立。企業資訊安全,不僅是企業主設備資金投入以及相關政策與規範的建立施行,「人」才是關鍵問題所在,因為光投入經費並不意味著企業內控100%的完善。人往往是最薄弱的包裝下破口,無心也罷或惡意不該都導致企業丟失高含金量資料。因此,本文將圍繞內部員工安全意識與培訓與大家分享討論。
在2003年,美國國家標準技術研究所(NIST)發佈規定,規定強式密碼由大寫字母、小寫字母、數位和符號等組成,且每三個月(90天)左右需要更新一次。可是最近有一則新聞,在微軟作業系統1903版本,將不再安全規範上要求三個月更換一次密碼。美國專家認為「三個月更換一次密碼」是一個迷思,經常換密碼反而是不安全的。微軟在Windows 10 桌機版、Windows Server 1903版Windows 10 1903(即19H1)及Windows Server 1903版安全基準設定草案中,拿掉定期變更密碼的密碼過期政策。
我對於三個月更換密碼問題持有疑慮,因為三個月更換密碼政策,衍生出更多密碼循環不安定因素,舉凡:(1) 密碼貼於螢幕;(2) 自己編寫一份12月週期密碼,迴避系統檢查;(3) 相關密碼資料為方便使用者使用紙本或電子檔…等一體兩面的衍生性問題。或許建立自己一套密碼複雜性原則,搭配二次或三次驗證機制,更加安全。精品內部也通過ISO27001認證,也正在著手修訂這樣的準則。
利用在地輸入法優勢,例如注音、大易、倉頡…所建立機制其實還不錯,但是有人將密碼送交網路系統驗證強度,間接被統計出有些屬地性密碼被揭露。只能說人對於直觀安全意識,仍不理想。將密碼送驗,這是一個很不聰明的行為,因為驗證方會將密碼收集起來,建立起暴力密碼破解資料庫,無疑添加許多的風險。你的密碼將成暴力密碼破解資料庫的一筆記錄。有著「此地無銀三百兩」的感覺。
隨著人的行為習慣,即便「P@s$w0rd」、以及「ji3k27au4a83!!」(我的密碼) ,雖然符合大小寫字母+數位+符號的組合模式,卻容易被駭客破解或是被揭露。NIST修改了相關的標準,規定強式密碼至少包含64個字元。使用者但可以根據自己的習慣,用不同的片語成一句短句口令。這樣更安全也更好記。同時,只要不將密碼混用,避免撞庫或被收入到暴力破解資料庫中,也就不用頻繁修改密碼。微軟建議企業應採取額外防護,被禁用使用密碼清單(如123456、password),建立多因素驗證,此外限制密碼猜測攻擊社交網路行為、不要將公司密碼與家用密碼混用。
在公司DLP產品或是AD帳戶密碼安全政策,也會將相關研究與建議列入到調整討論範圍中,更符合NIST新規範的訴求,在教育訓練,也會嚴格要求不可將密碼強度,送所謂密碼強度驗證服務中。