在近期的資安事件中,發生了不少屬於帳密外洩的案例。最常發生的這類事件的主要因素通常因為使用者設置了「弱密碼」。「弱密碼」在網路上可查到通用的定義,包括:純數字「0000、123456」、英文單字的變體「p@ssw0rd、adm1n123」、英文字典內的單字「apple456、mycat789」、容易被猜到的規則「1234qwer、1qax2wsx」。這些容易記憶或是被「傳承」的密碼原則,通常就是「弱密碼」。有些時候,設定這種弱密碼是因為系統上沒有特別要求密碼原則,像是還能設定純數字或英文單字,不過目前這種情況逐漸減少,取而代之的通常是有「密碼複雜度」的要求,例如:密碼最短為8碼,且要有英文大小寫及數字混合,甚至還要求特殊符號(!@#$%^……等)。
強密碼的安全機制已在大多數組織實施多年,相信大家普遍了解並遵守規則,但為何帳密還是外洩?其中一個的主要外洩管道便是「社交工程」。「社交工程」只是個概念性的說法,背後的意涵在於利用人性的弱點,舉凡:「貪、急、怕、無知」,其手法就會從人們的弱點中去製造假資訊。若貪,攻擊者就假裝讓對方有個投資賺錢的管道;若急,攻擊者就營造出時間緊急或名額稀少的狀態;若怕,攻擊者就透露出恐嚇威脅的詞語;若無知,攻擊者就藉由資訊落差的話術讓對方無從求真或理解。不論是從哪個人性弱點,終究一切就是為了製造假資訊讓對方誤以為真,使得受害者缺乏時間思考,進而交出攻擊者想要的個人資訊,甚至是按照對方的指示操作匯款,就是他們最終的目的──詐騙。
社交工程洩漏的個人資訊,也包括個人使用的帳號密碼。雖然人性的弱點無法完全從資訊安全技術去防禦,但可以從資訊安全教育來補強。假設使用者誤信攻擊者而提供帳號密碼的同時,使用者的身分就會被偽冒,進而使用外洩的帳號密碼去存取其個人的信箱或公司內部的系統資源。因此,只要透過告知員工,為何要保護密碼、如何設定強韌密碼、密碼定期更換的作用,至少從這些舉動可以讓員工正視密碼保護的重要性。因此建議在技術上,適度實施強密碼的管理政策,並且透過資安認知訓練的雙管齊下,就有機會降低帳號密碼外洩後的攻擊成功機率。
在組織施行ISO 27001的過程中,「鑑別資訊」和「安全鑑別」兩項控制措施便是提醒組織藉由管理政策和技術工具,加強帳號密碼的安全管控,避免密碼輕易被破解;而政策推動搭配使用者教育訓練,更能建立起第二道安全防線。然而,多重防禦已經是資安的必要考量,若能再藉由導入「多因子驗證(MFA)」機制,提升系統入侵的難度,也是形同保護組織的資安策略。倘若組織在導入與實施密碼安全管控有相關的問題,也不吝與我們聯繫,希望能有機會能與您合作。
#資安 #資訊安全 #網路安全 #資安防護 #電腦防護 #ISO27001 #IEC #IEC27001 #CNS27001
作者:潘柏廷 Conrad Pan
現職:亞瑟國際驗證專任資安技術專家,資深資安教育者,曾任資安輔導顧問,專長領域為資安、個資、人工智慧
