資安治理/導入無密碼機制 掌握三關鍵
日前數位部長唐鳳提到,數位部的內部系統全面「無密碼化」:沒有密碼就不用擔心密碼被騙走,部會成員若沒有自然人憑證,便無法連上任何系統。事實上,當前密碼已成爲企業資安架構中常見的漏洞,惡意攻擊者能借此輕鬆入侵組織系統,泄漏重要的營運資料。
落實無密碼機制確實能大幅降低資料外泄的風險。但企業欲導入無密碼,並不如想像般容易。羣暉科技從導入自行研發的無密碼方案經驗中,歸納出三大階段和要留意的事項。
一、慎選適合的無密碼登入方式。
市場擁有多種無密碼登入方案,企業可以從便利性、操作難易度層面評估。像最爲保險的硬體金鑰,可有效阻擋網路或軟體漏洞,缺點是員工得隨身再攜帶一個金鑰,也可能意外丟失。
相對於用手機App覈准登入或提供隨機密碼,使用起來方便得多,但面對特定手法如釣魚或疲勞攻擊,保護效果可能就會打折扣。
因此,負責部門可彙整所有無密碼登入機制,實測各方式所需時間和步驟,優先選擇與現有流程最接近的方案。
二、勤於溝通降低摩擦力。
工作習慣不易改變,要提高同仁轉換至安全登入方式的意願,必須自日常訓練讓他們意識資安的重要性,理解公司可能遇上的資安事件、會造成哪些損失,促使他們願意配合調整工作流程。
同時,建議事前要和各部門主管與同仁溝通新機制。
例如,舉辦說明會,解釋無密碼機制的操作方式與預期效益,如此才能理解大家的困擾、誤解與疑慮,提升下階段的順暢程度。
三、由容易到困難排序導入順位。
爲了最大化溝通效益,企業導入無密碼機制時比起一次全面實施,更適合採取循序漸進的方法。在我們的經驗中,IT、MIS和開發部門適合作爲優先測試的對象,他們較常接觸資安事件,也能接受解決方案在前期階段會有較多不便之處。
當公司有一定人數順利用上新登入方式,再推往業務或行銷部門,導入速度纔會加快並提高接受度。
此外,應持續蒐集使用回饋或Bug,建立更貼近真實使用情境的機制。
舉例來說,原本羣暉科技的無密碼登入方案,要求使用者仍得輸入密碼,才能接收到一次性驗證碼(TOTP),但使用起來相當不便,且仍須記憶密碼,最後改爲直接輸入一次性驗證碼即可,整體操作更加流暢。
企業導入無密碼機制切勿急躁,規模愈大的公司愈須耐心逐步轉換,才能落實無密碼機制防堵資安漏洞,守護好企業的寶貴資料。
金融新聞