鬼故事 - 我的密码是...

[鬼故事] - 我的密码是...

如果有人把密码这样写在座位上，请小心这些人。
这些人通常是你的主管或是发薪水给你的人...

以下故事纯属虚构，如有雷同那就雷同

故事主角：小华
小华是前面故事小弯的好朋友，同时也是一位支援工程师，
小华是个绿乖乖主义者，每次帮客户上新机都会准备一包乖乖在身上。

而这个故事是小华在跑客户的办公室遇到的鬼故事，
那是一个很热的夏天，大概在外面没有带瓶水就会热死的天气，
而小华今天要去的客户是一家靠银行业务维生的公司，
客户最自豪的就是我们资安做的很好，银行都信赖。

而小华进去客户就直奔客户 IT 区，一进去就看到其他厂商在协助客户处理问题，
有 PoC 的也有在 TroubleShooting 的，也有在准备装机的，也有在等开会的业务。

小华马上跟对方 IT 接上线然後开始准备开始装机的过程，由於客户网路环境复杂，
许多 VM 开通都需要其他部门授权後才会开通，听起来一切都做的很到位，客户资安做得很不错。

但马上这个想法就被打脸了，获得授权之後 IT 人员忘记 Server 密码，
立刻起身问起了隔空喊话问起了另外一位同侪：「OOO 防毒的 Server 密码多少啊」
同侪：「密码是qwert!@#$月份 」

小华当场傻眼，原来一个负责全公司的防毒 Server 的管理密码如此弱的吗？
弱就算了，你们讲密码不用偷偷说的吗？小华初步估计全场包含各家厂商至少有6家，
但大家似乎习以为常了，就好像他们完全没有听到一样。

随後处理完服务器端，客户的财务电脑防毒也出现了一些问题，
索性 IT 人员请小华一起协助检查是什麽状况，
进入了财务办公区，在财务的办公室的白板、电脑或多或少都有几张便利贴，
而这些便利贴有些写着网址後面带有看起来像是帐密的东西，
小华第一次感受到，原来他离转大笔金额的距离只差了一张便条纸。

骇客入侵公司聊天系统骗取了 IT 信任後协助重设 MFA，
一个公司的聊天系统就算是在内部，也不应该直接给予帐密，
我们常常相信聊天软件的另一端就是你的同事，但真的是这样吗？

遇到这种要求或是真的有必要传输，应该透过第二个传输频道(e.g. email, 公司 file server)
并加密其中的内容，其中加密的密码不应该在同一个传输方式提到。

例如小华被 A 同事在聊天软件索取客户敏感资料，他应该怎麽做？除了确认对方可以有这份资料。

如此做法尽量保证以下事情

回归到一件事，我们真的需要那麽多组密码吗？
人的记忆力有限，加上多人协作可能有需要共享密码，这些事情就如我们故事一样，
人会想出许多方式来合规，但是安全性上就降低了。

像是密码原则太过复杂又要定期变更，导致用固定密码然後加上月份/日期，
方便不同管理员可以记住密码不用重复询问。

这时候可以考虑导入类似特权管理系统，让员工用自己的员工帐号申请权限後，系统回应对应的帐密或是暂时提升帐号有操作权限。

过多系统要记的密码太多，每个系统都要一组帐密，只好用便利贴来记住。

善用密码管理工具并且定义自己的一组 password rule，只要记住密码管理器的密码并定期更换就好)

加码：强烈系统加入 MFA 的验证机制，当你不能保证每个员工都乖乖的去保护自己的密码，也无法导入特权管理系统时，加入 MFA 可以大大提升安全性。
MFA 常见 OTP 和装置验证

OTP 为我们常见例如: google authenticator , 简讯 2FA (不建议用简讯作为 2FA)
作者推荐像是 yubikey 这类型的设备，然後买两组(防止一只弄丢)
- 如果觉得 yubikey 太贵 GoTrust 也是不错的替代方案
- 现在部分服务也支援手机做 FIDO，但不太通用，希望未来 MFA 这件事成本可以降更低