在資安上多做多錯的彰化縣政府
收到一封電子郵件,公告新的學務系統密碼設置規則。目的很清楚是為了強化資訊安全,但是縣府直覺式的政策決策,欠缺專業與持續自我精進的能力,未能系統性思考本身主管業務,導致多做多錯,比不做還差。
1.每90天會強迫改密碼,邏輯是,密碼維持不變越久,外洩的可能性就會提高。忽略的是,人無法記得那麼多組密碼,強迫改密碼使得使用者只能用更簡單的密碼以免忘記;或者他們只能寫下來貼在螢幕上、桌墊下、抽屜裡。另一個邏輯是,如果密碼不幸外洩,定期改密碼可以消除外洩帶來的危害。然而有意竊取密碼的人不會在密碼到手90天以後才行動。
4.密碼至少12碼,邏輯是越多字元,暴力破解的所需時間越長。忽略的是,a.人無法記得太長的密碼,若要求過長的密碼,只能用較為容易記憶(也就容易預測)的密碼或者較短的密碼重複(如123412341234)。b.暴力破解以外,密碼通常因為鍵盤側錄、釣魚網站、社交陷阱等方法而洩露。針對暴力破解,比較有用的方式其實是限制一定時間內錯誤登入嘗試的次數(縣府公告規則第二點有做到)。至於鍵盤側錄、釣魚網站與社交陷阱,長密碼無法增加防護作用。
想要強化資安,可以投資建立雙重認證系統,設定密碼黑名單,簡單的密碼安全教學。這些稱不上資安人員的專業知識,只是網海浮沉的鄉民最基本的常識。這幾年資安問題頗受重視,主管機關即便專業尚未能齊備,若有持續自我精進,這些討論應該都不陌生才對。就算沒專業也沒自我精進,政策決策者最基本的思維,不也應該預測一下,政策執行時,相關人會有的反應與產生的政策效果是否能達成目標。
留言
張貼留言