2007/11/08

保密防諜 - Secure your mind

今天遇到兩件讓我有點哭笑不得的事.
一通電話, 來問我送修的電腦的登入密碼.
一封mail, 要我把進度報告送到免費信箱.

昨天把laptop送修, 今天早上接到純正內地腔的電話,
要我把Windows Logon Password告訴他們, 以便進行維修.

我反問她為什麼需要我的密碼, 她說是要進到作業系統查看.
我直接了當地說, 我不可能給你我的密碼, 妳可以清掉已有的作業系統, 用任何方法檢測, 簡單說, 我寧願毀掉作業系統, 也不會讓她登入. 即使我已經清空所有資料了.

我如果是這位小姐的主管, 我應該會毫不考慮地將她調職或是開除.
一點安全概念都沒有, 早晚要出事, 還好她沒有堅持一定要取得密碼,
不然我會直接槓上HP客服中心.

因為工作的關係, 遇到很多人都習慣把密碼交出來. 這真的很要命.
我的觀念是, 既然是密碼, 不管複雜或簡單, 它就不應該被揭露.
有些情況之下, 會有必要設定類似公用碼(密碼一旦公開就不"密"了啊!)
那就用完全不一樣的邏輯去設這一組密碼, 而不是拿常用的邏輯去設定.

所以, 個人真正要管理的, 不止是密碼, 還有設定邏輯.
舉一個很常見的爛例子, 拿生日或手機號碼當密碼.
如果遇到strong password requirement就多加qwer等字列.
假設我的密碼是1215qwer, 有心人士可以拿這種邏輯編出規則,
比如到一些知名的網站, 用帳號加上1215qwer, 1215asdf, 1215zxcv等規則來試,
這樣就增加帳號密碼被盜取的機會.

上述的情況中, 我並不怕她拿這組帳號密碼去試, 我真的怕的是邏輯外洩.
再說, 除了硬體檢修不一定需要原有作業系統以外,
這種要求存取的行為完全是白癡到家. HP香港維修中心真是讓人跌破眼鏡.

再說另一檔事, 要我把進度報告送到免費信箱.
某PM發信告訴大家, 請大家把專案進度報告準時交給她, 順便cc一份到某免費信箱.
這樣的話, 她回家就可以收信, 繼續在家為大家工作喔! (大心) (踹飛~~)

除了怕公司資料外洩以外(我到現在還是不相信Gmail沒有掃過我的信...XD)
另一個就是身份驗證的問題.

今天在信中說, 請寄到我另一個私人信箱, 但是根本沒有辦法去驗證, 那個信箱真的是你的.
對寄信人來說, 這有極大的機會違反公司的保密協定.

用公司的E-mail, 百分之百可以確定這個信箱的持有人的身份. 公司信箱一定要是員工身份.
免費信箱不同, 雖然也需要身份驗證, 但是這個驗證通常形同虛設.

如果說, 這兩個例子加總起來, 大概會出現這種情況,
使用者把自己電腦的密碼交給店家, 店家用同一組帳號, 試出了某免費信箱,
取得該免費信箱的相關服務, 包括拍賣, 交友, 網路交易.

從信箱中得知公司信箱及可能帳號, 甚至從郵件中取得銀行部份資料,
使用近似的設定邏輯取得網路銀行存取, 以及使用者的行事曆和通訊錄資料.
透過通訊錄資料, 用相同的手法嘗試取得通訊錄名單的各種帳號密碼....以此類推.

然後再來的戲碼大家都很熟了, 假拍賣真詐財, 人頭帳戶, 甚至公司機密被賣掉,
或是在PTT八卦版上面看到自己昨天寫的會議記錄等等.
別懷疑, 這絕對是可行, 而且天天發生的.

個人的資訊安全絕對不是把電腦鎖在後車廂不要被小偷幹走就好,
很多細節都有可能造成很大的損害, 這也是social engineering可怕的地方.

套一句相聲台詞...
"小心!(啪) 匪諜~就在~你~身~邊!"

3 則留言 :

  1. 貴社緊張兮兮們好像有個 rule,

    裡面講到說, 即使你的老闆要跟你討你的 laptop 登入密碼, 你也不能給他.

    "Trust no one"

    回覆刪除
  2. 沒錯.
    老闆要登入員工的laptop有很多正當的方法, 但是要密碼不算正當, 而且相當愚蠢.

    真正路人皆知的卻是, 這種蠢貨傷當地多.

    回覆刪除
  3. 某PM
    不會是專業的五樓某T吧?

    回覆刪除