首頁 > 焦點新聞

密碼規則的盲點與未來可能發展

作者:邱述琛 -2017 / 12 / 05 列印 加入我的最愛 分享 將這篇文章分享到 Plurk 噗浪

變更密碼,因為太簡單無法通過複雜性規定,太難又記不住,偶而會在螢幕上、鍵盤下或是識別證後面發現有密碼的提示;對IT管理人員而言,更是一大折磨,因為一個人要管數十部甚至是上百部伺服器,每次換密碼都是一項浩大的工程。

「密碼」已經是現代人日常生活中不可或缺的一部分,從個人生活中的電子郵件、網路銀行、各式各樣的網站會員,到上班時的登入電腦、各類公務系統,無一不需要密碼,而大家也早已習慣密碼要安全,要有一定長度,應該由大、小寫英文字母混合數字,再加上特殊字元,更重要的是,要定期變更密碼,而且必須與前幾代的密碼不同。於是,變更密碼對大家都成為一種負擔,因為太簡單無法通過複雜性規定,太難又記不住,直到現在還偶而會在螢幕上、鍵盤下或是識別證後面發現有密碼的提示;此外,對IT管理人員而言,變更密碼更是一大折磨,因為一個人要管數十部甚至是上百部伺服器,每次換密碼都是一項浩大的工程。

IT管理人員的痛苦與密碼不能說的秘密
筆者在稽核時,經常聽到IT管理人員反應,密碼實在是太多組了,也常發現大家都知道,但又不能說的秘密,像是常見的「鍵盤密碼」:「!QAZ2wsx」、「!@#$qwer」都是非常明顯的例子。更重要的是,因為密碼複雜性要求反而導致密碼不安全,更容易被駭客猜中的嚴重問題。NIST在今年6月發布的「數位身份指引—認證與生命週期管理」中,對密碼也僅提出長度、複雜性及隨機選取等三項參考項目,並建議用戶可以使用由多個簡單短語組成的長密碼(Passphrase)取代原本的密碼組成(文數字、大小寫及特殊字元),也不再建議在密碼中使用特殊符號與過於頻繁的更換密碼。今年8月媒體也報導,在多年前提出密碼規則的Bill Burr受訪時表示,這些過於複雜的規並沒有辦法有效的強化安全性。

其實密碼複雜性的目的是在增加密碼強度,讓駭客不容易預測,但過度複雜或制式化的複雜性規則,反而產生反效果。弔詭的是,這個問題明明大家都知道,實務作業也發現問題,但卻都選擇默默接受,為什麼呢?或許是因為沒有更好的密碼最佳實務建議,所以只好按照原本的規則設定,這種消極的因應作法與心態,也提供了駭客入侵的機會。

一條鞭的密碼規則與存取控制
系統用戶在登入密碼認證後,就進入到系統存取的階段,美國國家標準技術研究所,National Institute of Standards and Technology(NIST)在今年1月公布的網際安全框架V1.1新版草案中,已將身份識別認證與存取控制進行整合,另美國軍方單位也在使用強認證方法外,也開始導入行為偵測技術,以在使用者登入系統過程中,持續驗證使用者身分,以避免身份盜竊所導致的不當存取、洩密等問題。其實參考國外的發展可以發現,網際安全防護是一項整體性的工作。

目前企業多已採用縱深防護機制「分工」運作,但可能忽略掉了更為重要的「合作」機制,舉例而言,一個身分遭到盜用的合法使用者,登入系統後可能在不正常的時間、進行不正常的存取、存取不正常的資料,如果發生這種情況,如果沒有一套整體運作的防護機制,非常可能造成組織整體的損失,所以對組織而言,重點不在事情應該歸誰管,而是要轉變為事情大家都要管,才能發揮最大戰力。

1
推薦此文章
2
人推薦此新聞
我要回應此文章
您的姓名:
回應內容:
  輸入圖片數字

你或許會對這些文章有興趣…