Credit: 一级玩家
如果有人把密码这样写在座位上,请小心这些人。
这些人通常是你的主管或是发薪水给你的人...
以下故事纯属虚构,如有雷同那就雷同
故事主角:小华
小华是前面故事小弯的好朋友,同时也是一位支援工程师,
小华是个绿乖乖主义者,每次帮客户上新机都会准备一包乖乖在身上。
而这个故事是小华在跑客户的办公室遇到的鬼故事,
那是一个很热的夏天,大概在外面没有带瓶水就会热死的天气,
而小华今天要去的客户是一家靠银行业务维生的公司,
客户最自豪的就是我们资安做的很好,银行都信赖。
而小华进去客户就直奔客户 IT 区,一进去就看到其他厂商在协助客户处理问题,
有 PoC 的也有在 TroubleShooting 的,也有在准备装机的,也有在等开会的业务。
小华马上跟对方 IT 接上线然後开始准备开始装机的过程,由於客户网路环境复杂,
许多 VM 开通都需要其他部门授权後才会开通,听起来一切都做的很到位,客户资安做得很不错。
但马上这个想法就被打脸了,获得授权之後 IT 人员忘记 Server 密码,
立刻起身问起了隔空喊话问起了另外一位同侪:「OOO 防毒的 Server 密码多少啊」
同侪:「密码是qwert!@#$月份
」
小华当场傻眼,原来一个负责全公司的防毒 Server 的管理密码如此弱的吗?
弱就算了,你们讲密码不用偷偷说的吗?小华初步估计全场包含各家厂商至少有6家,
但大家似乎习以为常了,就好像他们完全没有听到一样。
随後处理完服务器端,客户的财务电脑防毒也出现了一些问题,
索性 IT 人员请小华一起协助检查是什麽状况,
进入了财务办公区,在财务的办公室的白板、电脑或多或少都有几张便利贴,
而这些便利贴有些写着网址後面带有看起来像是帐密的东西,
小华第一次感受到,原来他离转大笔金额的距离只差了一张便条纸。
先讲个经典攻击案例,EA 公司在 2021 年被骇客攻击
骇客入侵公司聊天系统骗取了 IT 信任後协助重设 MFA,
一个公司的聊天系统就算是在内部,也不应该直接给予帐密,
我们常常相信聊天软件的另一端就是你的同事,但真的是这样吗?
遇到这种要求或是真的有必要传输,应该透过第二个传输频道(e.g. email, 公司 file server)
并加密其中的内容,其中加密的密码不应该在同一个传输方式提到。
例如小华被 A 同事在聊天软件索取客户敏感资料,他应该怎麽做?除了确认对方可以有这份资料。
如此做法尽量保证以下事情
回归到一件事,我们真的需要那麽多组密码吗?
人的记忆力有限,加上多人协作可能有需要共享密码,这些事情就如我们故事一样,
人会想出许多方式来合规,但是安全性上就降低了。
像是密码原则太过复杂又要定期变更,导致用固定密码然後加上月份/日期,
方便不同管理员可以记住密码不用重复询问。
这时候可以考虑导入类似特权管理系统,让员工用自己的员工帐号申请权限後,系统回应对应的帐密或是暂时提升帐号有操作权限。
过多系统要记的密码太多,每个系统都要一组帐密,只好用便利贴来记住。
善用密码管理工具并且定义自己的一组 password rule,只要记住密码管理器的密码并定期更换就好)
加码:强烈系统加入 MFA 的验证机制,当你不能保证每个员工都乖乖的去保护自己的密码,也无法导入特权管理系统时,加入 MFA 可以大大提升安全性。
MFA 常见 OTP 和装置验证
<<: Day 0x3 UVa10222 Decode the Mad man
>>: [Day3]C# 鸡础观念- 核心的数据成员~变数(一)
今天要来说更深层的清单元件,是为了减少内存才能提升效能。 首先,简单介绍ViewHolder,他并不...
既然是从 INFORMIX 剥离出来的工具,应该连结资料库的能力是强大的。本段落我们检视一下Gene...
好不容易拟定了游戏专题的方向,接下来是要奠基在上一届学长姐的模组上继续成长出自己的专案。 为期一个月...
倒数第二天铁人赛了,微人今日不聊程序码了,想聊一下今天在预演的小插曲 先说明一下 我的队友们真的都很...
今天来聊聊关於 contracts 的继承 关於 contracts 其实它是支援多重继承,在这方面...