其實算是老問題了。雖然是資訊安全領域的專業,但是因為牽涉到人,所以實際執行上通常都會出現意料之外的情形......
在6、7年前(2016年之前)的工作中恰巧需要處理一些資安的相關議題。當時在AD中必須設定的一項規則就是:使用者必須每90天(或3個月)更換一次密碼,且不得與前3次使用的密碼相同。其他的密碼規則在這邊就不贅述了。更換密碼這項規則都是為了因應資安稽核而設定,在我當時待過的兩個單位都是相同的處理方式。相信很多公司或單位也是這樣比照辦理。
在資訊安全設定中遵循的密碼相關規定及機制大多是依據2003年由美國國家標準技術研究院(National Institute of Standards and Technology, NIST)所發布的文件編號SP 800-63:數位身分指南(Digital Identity Guidelines)所建議的方法去建立的。以資訊安全的角度來看基本上沒有太大的問題。但在組織中實際運作時,就會有一些問題產生。
在我過去的經驗中,因為長時間未使用而忘記密碼是很常發生的問題。在非日常需登入使用的系統中,有時可能相隔數月才會登入使用。當有些專案的期程接近時,短時間內就會有不少人因為太久沒使用而忘記密碼,因此必須依照資安文件所訂的章程送密碼重新設定的申請單到我手上。而保存並記錄這些密碼重設的申請單反而成為我資安工作中很大的一部分。
這樣的問題通常因為是需要定期更換密碼。而大部分人會以原有的慣用密碼進行延伸或做一點改變,作為設定新密碼的方式。但多數人也較不會去自訂一個變更的規律或記憶密碼變更的部分。所以慣用的密碼還是記在腦中,但更改了什麼成為新密碼則是大部分人無法準確記憶的。更不用說再去設定一組與原本慣用密碼完全沒有關聯的新密碼了。就如同許多人所說的,這個方法在防住入侵之前,就先防範了原本的使用者。
定期更換密碼能增加安全性嗎?在某些特定的狀況下或許可以。例如駭客在大批竊取帳號密碼後,不一定會即時使用這些帳密來進行操作。這時使用者或系統管理員通常也不會發現帳密已經遭竊。若在帳號密碼流出到被利用的空窗期之間恰巧是更換密碼的時間,就能讓駭客手中的密碼無效。
反過來說,雖然大家都知道密碼越複雜、越沒有規律是更安全的。但問題就在於人腦無法輕易記住這麼複雜且無規律的字串,甚至要定期更換,且更嚴格的方式就是每個系統都要使用不同的密碼。這對每天必須周旋在不同登入介面的現代人來說真的太困難了。所以有個笑話是這麼說的:只要走一輪辦公室將便利貼紙條全部收集起來,你就可以得到這個辦公室大部分的密碼。
再者,因為需要定期更新密碼,多數人選擇上述使用慣用的密碼加上變化的模式,反而讓駭客容易理解你設定密碼的習慣。因此在針對個人時,只要掌握了個人的密碼習慣,基本上個人所有使用的網路服務及系統就幾乎可以完全破解。定期更新密碼的要求加上人類的慣性,反而降低了個人密碼的安全性。因此這項政策的效益基本上是弊多於利的。
NIST的SP 800-63文件在2017年6月經過修正後重新發布,包含密碼定期更新及其他不合時宜的建議已被刪除或修正。當時作為中階管理人員及負責文件編撰的Bill Burr也承認了先前內容的問題。當然在科學計算上當時的建議不算有錯,但在人類社會中實行,並經過時代的變化,必然會出現科學與人文根本上的差異。至少他們又回過頭重新審視了過去的內容,並進行修正。
現在我們知道,定期更新密碼實際是一個效益低,又容易產生不良影響的規定了。
備註1:多數報導指出NIST的SP 800-63文件是2003年發布,連各報導的源頭:華爾街日報(The Wall Street Journal)也是。但筆者找到的SP 800-63 V1.0發布時間是2004年,並未找到更早期版本的文件。
達人
