最近看新聞或電子報,都在提資安問題,這個也不是最近才在提,而是已經提很久了.
然而,最近所發生的這些資安問題,都是一些購物網站的資料外流.
換個角度來說,從新聞上得知,駭客並不是取得了使用者的帳號及密碼,直接登入.
而是改採"試"密碼的方式,進行登入,也就是重覆的登入,一直試不同的密碼,一直到成功.
成功後,再到其它網站去試這組密碼.
從使用者的角度來看,這不外乎是懶人密碼所導致,最常被使用的密碼幾乎是生日或身份字號等.
一個密碼"世界通",不管什麼地方的密碼都用同一個.
而一些"網站"的會員申請加入,這些個人資訊都必需輸入.
但有資安管理背景的網站卻不多,畢竟資安的投入經費與人力,不是一個小數目.
因此,被試到密碼的機率就自然提升.
所以有時在申請加入會員時,心中總不免揚起一個小惡魔,填假資料就好,避免個人資料外流.
有時習慣測試網站的密碼加密功能,故意"遺忘"密碼,重新申請一個新密碼.
從密碼重寄的信中,如果看到的密碼通知與我當初設定的密碼相同,即代表我的密碼是可被"還原"的.
危險性自然較高.
如果新密碼與原密碼不同,或許是不可還原,但也可能是可還原,這點較難以證實.
不管如何,至少比寄相同的好.
不過不管如何,如何保護自己的個人資料不外流,除了網站有這個責任外,使用者也是同樣負有責任.
前面提到的是使用者部份,但最近有遇到一個案子,讓我冒了一身冷汗.
話說公司的人資系統是外購的,並不是公司自行開發的系統.
日前該軟體開發公司向我們公司的人資單位要資料庫的資料. 理由是他們需要測試.
因為人資不會用,所以請由我們協助處理.
協助處理的同仁相當熟練,沒多久就把資料庫備出來,廠商拿到檔案後,直接還原即可.
聽到這樣的處理方式後,效率好,固然是要拍拍手,但怎麼可以就這樣把人事資料就這樣的給別人,而且還是全公司所有人的資料?
還好發現的早,所以在提供前,把一些重要資料全部改掉.
雖然最後給廠商的資料是修改後的,但其實我們應該還是不需要提供這樣的資料.
我相信廠商絕對有同樣的資料可以進行開發與測試.
並不需要我們提供公司的人事資料.
況且,就算我們與公司簽有保密合約或什麼的,但該公司的基層人員資料管理觀念不見得有到位.
還是很有可能被該公司的基層人員把資料"帶回家".
有些公司於面試時,希望應徵的人能夠展示個人作品,說真的,如果展示出客戶或自己公司資料的應徵人員,就應該要被打屁股,因為這不就直接的告訴別人,嘿,我會A公司的資料出來哦. 你看,這些資料就是我A出來的,很齊全吧. 而這系統也是公司的哦. 原始碼在這! (我想,很少有人一手完成整套系統,大多是團隊合作,或是長久以來的努力與改善所累積下來的,如果用這個來當個人作品展示,只是額外的突顯你個人的操守問題)
總之,很多的資料外流,不見得是駭客所為,如果平時能多注意一點,被盜用的風險,自然就少一點.
留言列表