個人化的資訊服務,為什麼要先通過帳號、密碼驗證,才能使用?因為帳號/密碼就是開啟資訊服務的鑰匙,沒有鑰匙的人,不應該/也不能夠使用這個個人化資訊服務,這是基本的資安觀念。
現實生活中,有人習慣把家裡鑰匙,放在門口地墊、花瓶、鞋櫃、甚至鞋墊底下。就為了怕忘記帶鑰匙、方便等等的理由。這樣的作法的確很方便,但是很容易引狼入室,或者說引誘犯罪。有人習慣藏鑰匙,就有人習慣找鑰匙,如果習慣找鑰匙的人恰好不是你,而是居心不良的人,後果不堪設想,輕則破財消災,重則危及身家性命。
資訊服務也有同樣的情況,如果帳號/密碼外洩,導致駭客入侵,輕則一般營運資訊外洩;重則公司機敏資訊外洩,導致喪失競爭優勢;甚至系統與機敏資訊全部毀損,無法繼續營運。
身處網際網路無所不在的年代,Google、Facebook、Amazon、IG、國內外電商、網路銀行…等雲端服務,幾乎沒有哪一家沒有被駭客攻擊過,也沒有哪一家沒有出過或大或小的資安事件。或許您有聽說過,或許您沒有注意到,各大雲端服務廠商被駭後,大量的帳號/密碼/社會安全碼/信用卡號碼被有心人蒐集,放到暗網販賣,只要少少幾塊美元,就可以買到數十萬筆這樣的資料。
以前駭客追逐的是技術,運用技術優勢尋找資訊服務弱點,想辦法入侵,攫取系統管理權限,掌控該系統(肉雞),然後擴大肉雞農場,以彰顯影響力。現在駭客已經不這麼玩了,他們已經變成利益追逐者,花一點錢到暗網買帳號密碼,然後比對整理,找出在不同的網站,都出現過的帳號密碼,列入一組帳密走天下的精準資料庫,然後用這個資料庫,攻擊入侵網站。以前駭客攻擊網站,常採快速暴力猜測帳密,因為會產生大量的系統日誌,很容易被有經驗的系統管理人員發現。現在駭客改用精準的帳密資料庫,緩慢、持續、堅定的逐一測試,因為緩慢所以不容易從系統日誌發現,因為精準所以成功率很高。這就是最近資安界的流行術語--撞庫攻擊。
一組帳密走天下,應該算是人性吧!誰也不想記一堆難記的密碼、定期要更換、還要不准跟前幾次密碼重複,還有沒有人性啊!都是肝苦人,何必互相為難!其實不是這樣的!密碼原則會定成這樣,跟駭客攻擊直接相關,為避免撞庫攻擊,在沒有更好的方法之前,只好犧牲方便性。
可能有人有疑問:一開始這些帳密是怎麼被駭的?這是個好問題。所謂最堅強的堡壘,必須要從內部攻破,這個原則駭客很常運用。挖坑埋陷阱、糖衣包木馬、社交釣魚、精準叉魚,很多攻擊花樣,嚴厲的考驗廣大網民警覺與資安素養。只要一個不留神中招了,您的個人機敏資訊,甚至電腦可能就有人跟您祕密分享了。
一口吃不成胖子,駭客攻擊也一樣,很少一次到位,通常是經過長時間的積累,逐漸浸潤擴散被駭範圍。駭客掌握的愈多,攻擊就更容易成功、深入。俗話說不怕賊偷,只怕賊惦記。當駭客針對性的攻擊一個目標,持續性的蒐集弱點與資訊,修正攻擊手法,這就是有名的進階持續攻擊(APT)。
參考政府與業界各大雲端服務商作法,依其資訊技術與安全警示措施,有不同的密碼政策,其間差異頗大,略舉幾例供大家參考:政府機關密碼長度至少12字元、數字/大小寫字母/符號至少3種、180天變更、密碼前3組不能重用;Google密碼長度至少12字元、不限複雜度、無定期變更、密碼前100組不能重用、鼓勵啟用兩步驟驗證(2-Step Verification);Apple密碼長度至少8字元、數字/大小寫字母至少各一、一年內密碼不能重用、鼓勵啟用兩步驟驗證(2-FA)。
傳統式帳號密碼作法,經過數十年的考驗,確實有效,但也存在不便,如果有適合的密碼管理工具,可有效緩解強密碼政策帶來的不便,這裡推薦一款開源的免費密碼管理軟體 KeePass,安裝、中文化與使用可參考這裡。
隨著行動裝置蓬勃發展,新安全科技應運而生,刷臉、指紋、虹膜、OTP、簡訊等,要從中挑出一種適合組織的替代或輔助方案,很挑戰也需要時間,但是絕對值得努力!