北京
IT團隊在員工入職時忙得腳打后腦勺。新來的同事需要設備、賬號、訪問權限,還有密碼,所有東西得在一個緊巴巴的時間窗口里備齊。通常這就意味著,得先給個一次性“首日密碼”,讓人家能進系統。但麻煩的是,這些臨時憑證并不總是真的臨時。有時候它們就躺在電郵或短信里,跨賬號重復使用,甚至壓根沒人想著改。結果呢?入職流程里憑空多出一大塊本不該有的風險敞口。
對攻擊者來說,搞到這些管理馬虎的入職憑證,就跟撿到一把萬能鑰匙差不多。想在不拖慢新人節奏的前提下把入職環節搞安全點,先得整明白一件事:為啥那些司空見慣的密碼共享方式,本身就是個坑。
最常用的操作,是把初始憑證用明文通過電郵或短信發過去。快是真的快,碰上入職旺季簡直太省事了。但這么干等于把密碼貼在公告欄上——消息要是被截獲、轉發,或者被人在沒防護的設備上打開,攻擊者立馬就能登入公司賬戶和系統。另一種方法是口頭傳密碼,當面講或打電話說。這倒能降低線上攔截的風險,可它自己又帶出一堆麻煩:IT得跟新人湊時間,要是讓經理或第三方轉達,流程更容易亂套。密碼經手的人越多,被搞丟或泄露的幾率就越大。
說穿了,這倆辦法都不算安全,也撐不起規模。很多時候,組織就是在便捷和安全之間踩鋼絲,結果那些臨時密碼沒成短期過渡,反倒淪為一座長期蹲著不走的弱點。
傳統的入職操作之所以有風險,根源就在于你非得先把臨時密碼塞給人家。市面上現在有專門治這個的招兒,比如Specops First Day Password,這東西屬于Specops uReset的一部分,核心邏輯就是把分發首日密碼這一步直接省掉。員工不用再等著一封帶臨時憑證的郵件或短信,而是自己動手豐衣足食——走一個安全的登記流程。
具體怎么玩?用戶會收到一個登記鏈接,渠道可以是個人郵箱、短信,或者在已加入域的設備上點“重置密碼”。然后拿個人郵箱或手機號驗明正身,當場就能創建一個從一開始就符合公司策略要求的密碼。這么一來,憑證被截獲或胡亂處理的風險壓下來了,IT和新人的體驗反倒還順溜了不少。
大多數入職憑證本是臨時工,但據相關消息,它們常常賴著不走,最終變成永久漏洞。而像上述這種讓新人自主設密的路子,恰恰掐斷了這條風險鏈。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
