觀點

密碼規則的盲點與未來可能發展

2017 / 12 / 05
邱述琛
密碼規則的盲點與未來可能發展

變更密碼,因為太簡單無法通過複雜性規定,太難又記不住,偶而會在螢幕上、鍵盤下或是識別證後面發現有密碼的提示;對IT管理人員而言,更是一大折磨,因為一個人要管數十部甚至是上百部伺服器,每次換密碼都是一項浩大的工程。

「密碼」已經是現代人日常生活中不可或缺的一部分,從個人生活中的電子郵件、網路銀行、各式各樣的網站會員,到上班時的登入電腦、各類公務系統,無一不需要密碼,而大家也早已習慣密碼要安全,要有一定長度,應該由大、小寫英文字母混合數字,再加上特殊字元,更重要的是,要定期變更密碼,而且必須與前幾代的密碼不同。於是,變更密碼對大家都成為一種負擔,因為太簡單無法通過複雜性規定,太難又記不住,直到現在還偶而會在螢幕上、鍵盤下或是識別證後面發現有密碼的提示;此外,對IT管理人員而言,變更密碼更是一大折磨,因為一個人要管數十部甚至是上百部伺服器,每次換密碼都是一項浩大的工程。

IT管理人員的痛苦與密碼不能說的秘密
筆者在稽核時,經常聽到IT管理人員反應,密碼實在是太多組了,也常發現大家都知道,但又不能說的秘密,像是常見的「鍵盤密碼」:「!QAZ2wsx」、「!@#$qwer」都是非常明顯的例子。更重要的是,因為密碼複雜性要求反而導致密碼不安全,更容易被駭客猜中的嚴重問題。NIST在今年6月發布的「數位身份指引—認證與生命週期管理」中,對密碼也僅提出長度、複雜性及隨機選取等三項參考項目,並建議用戶可以使用由多個簡單短語組成的長密碼(Passphrase)取代原本的密碼組成(文數字、大小寫及特殊字元),也不再建議在密碼中使用特殊符號與過於頻繁的更換密碼。今年8月媒體也報導,在多年前提出密碼規則的Bill Burr受訪時表示,這些過於複雜的規並沒有辦法有效的強化安全性。

其實密碼複雜性的目的是在增加密碼強度,讓駭客不容易預測,但過度複雜或制式化的複雜性規則,反而產生反效果。弔詭的是,這個問題明明大家都知道,實務作業也發現問題,但卻都選擇默默接受,為什麼呢?或許是因為沒有更好的密碼最佳實務建議,所以只好按照原本的規則設定,這種消極的因應作法與心態,也提供了駭客入侵的機會。

一條鞭的密碼規則與存取控制
系統用戶在登入密碼認證後,就進入到系統存取的階段,美國國家標準技術研究所,National Institute of Standards and Technology(NIST)在今年1月公布的網際安全框架V1.1新版草案中,已將身份識別認證與存取控制進行整合,另美國軍方單位也在使用強認證方法外,也開始導入行為偵測技術,以在使用者登入系統過程中,持續驗證使用者身分,以避免身份盜竊所導致的不當存取、洩密等問題。其實參考國外的發展可以發現,網際安全防護是一項整體性的工作。

目前企業多已採用縱深防護機制「分工」運作,但可能忽略掉了更為重要的「合作」機制,舉例而言,一個身分遭到盜用的合法使用者,登入系統後可能在不正常的時間、進行不正常的存取、存取不正常的資料,如果發生這種情況,如果沒有一套整體運作的防護機制,非常可能造成組織整體的損失,所以對組織而言,重點不在事情應該歸誰管,而是要轉變為事情大家都要管,才能發揮最大戰力。

筆者建議基本上密碼規則可以參考以下的「長-不-可-測」原則,說明如下:
1. 密碼要夠「長」:目前一般建議是8碼,部份高信賴性系統之標準要求達12碼,但NIST也提醒,考量系統效能,可限制密碼最長長度。
2. 「不」可使用易遭破解密碼:系統應建立比對已知弱密碼之功能,以預防使用者誤用,導致系統發生風險。
3. 「可」採用強認證方式:MFA已是業界推動方向,無論是SWIFT、Yahoo、Gmail等,都已開始大力推動MFA機制。
4. 複雜性要難以預「測」:目前常使用的「英文大小寫+混合文數字+特殊字元」複雜性要求,此類具體描述已經為駭客創造出破解密碼的公式(如:Admin1234!),本質上已是容易被精準預測的。簡言之,當複雜性有規則時,那它就不夠複雜了。

其實,安全規則的目的是在因應面對的威脅所採取的控制行為,所以必須依據控制目的來設計控制措施。舉例來說:一般常見設定15分鐘內若輸入5次錯誤密碼,帳號會自動鎖定15分鐘。但這樣的設定就無法因應每5分鐘一次的密碼猜測攻擊(每天近300次);換個角度,若有想癱瘓正常服務的駭客,這種機制正好可以用以發動阻絕服務攻擊(DoS)。若整個組織或大量系統都採用這樣的安全防護規則,對駭客而言,反倒是個好消息。像是雲端服務平台已採用像是對不合理的登入位置(如:一日之內出現3個國家的IP位址)、不合理的登入記錄(如:同一個IP位址出現一日之內出現多個帳號的登入失敗紀錄)等不同風險面向進行分析的機制,都是可以納入網際安全考量,進而規劃更為有效的管控機制,千萬不要被既有的安全規則設定方式,侷限住過往安全防護的作法。

結語
數位身份識別將是未來所有新興科技都要共同面對的問題。因此,若您的單位還沒有開始檢視既有密碼安全規則有效性的話,建議應該立刻開始檢討了。回到管理風險角度來看,組織應該依據提供服務的特性,面對威脅的狀態,風險評估的結果,選擇複合性的安全規則,並採取既「分工」又「合作」的策略,才能有效的解決「變更密碼」的問題,此外,必須瞭解密碼強度的目的是保護密碼,防範用戶身分遭到盜用,所以重點一定要放在效果,如果誤將手段當成目的,那勢必是事倍功半、徒勞無功。

本文作者目前任職於KPMG數位科技安全(Cybersecurity)服務部協理