拜託,工作電腦不用整天換密碼啦!

半小時前,我還在煩這個禮拜寫什麼。我打開公司提供的電腦準備開工 ⋯⋯ 然後現在我要發牢騷了。

作為跨國企業,我公司對僱員怎樣用工作電腦有嚴格要求。僱員每兩個月就必須換電腦跟所有工作戶口的登入密碼,否則期限到了無法登入電腦工作。這是為了讓駭客不容易駭入我們的電腦,確保公司資料安全。

但沒兩個月換一次密碼還不夠,公司還要求密碼必須夠長夠複雜,要有大寫小寫數字符號標點符號 ⋯⋯ 很難記。所以我每次換密碼後,都把密碼收藏在手機上,用電腦時就看著手機輸入。

今天我打開電腦,電腦又跳出窗口來,要我趁兩個月過去前換密碼。不料公司增加了對密碼的要求。我花了半個小時,一再嘗試輸入新的、比之前複雜的新密碼,可是電腦一直堅持密碼未滿足長度和複雜程度的條件。我決定放棄,打算明天再試,同時寫下這篇文章來發牢騷。

是的,每兩月換一次密碼會讓駭客更難猜到密碼。但結果僱員因為記不住複雜密碼(記住也沒用,反正過兩個月又要換新的),都會把密碼寫進紙條,貼在電腦螢幕上。我公司幾乎每個人都這麼做!於是僱員如果暫時離開電腦,路人甲就可以輕易登入電腦抄走資料,甚至抄下密碼來登入僱員的工作電郵。

前年,美國聯盟貿易委員會首席技術專家克雷諾(Lorrie Cranor)就強調,強制用戶定期更換密碼有可能會適得其反。眾多研究顯示,這樣反而令人們傾向使用較弱而且可以預測的密碼,為了好記本來是 tunM#1 的密碼下一次就換成 tUnM#1,然後換成 tuNM#1,如此類推。駭客只需要用演算法,就能準確預測一部分用戶會怎樣修改密碼。

所以說,只要破解「人」這環,再高科技的加密手法都沒用。一家公司可能有最強加密軟件,但駭客只要打幾通電話、跟關鍵僱員喝茶聊天套點資料,就可以輕易駭入系統。就算員工用最難猜的密碼,如果她把密碼寫在紙條上,那再好的密碼都沒用。IT部門不只要懂科技,還要懂人性;這種強迫僱員每兩個月換一次密碼的作法,沒有保護到公司的資料,只是做個樣子給上頭看。這也未必是IT部門的錯,克雷諾指,就算IT部門想讓員工省去一直換密碼的麻煩,上頭接受他的解釋嗎?只好維持現狀,直到資料外洩再下令全公司員工禁止把密碼寫在字條上,你們自己看著辦吧。

科技總是要在安全和方便之間實現平衡。我承認企業必須確保僱員都用足夠複雜、不容易猜測的密碼登入系統,千萬別用老公生日日期或美國總統的名字。我不是沒有網上安全意識,我網上所有戶口從不使用重複的密碼,而且密碼都是軟件生成的亂碼,能用雙因子驗證(2FA)的戶口都有用。但無極則反,當本意是確保資料安全的科技太麻煩,人就不會去用它,或用比較不安全的方法。

我再舉個例子。現在很多網站都支持甚至強制使用雙因子驗證(2FA),登入帳戶必須先用手機接收驗證碼,所以駭客不只要有你的密碼,還要同時有你的手機號碼才能下手。但手機號碼是公開資料,一有了手機號碼駭客就不難得到驗證碼了。於是這些年科技新聞網都愛煽情地呼籲人們,別用 SMS 接收 2FA 驗證碼了,除非你想成為下一個受害者!應該馬上換去用谷歌 Authenticator 等生產驗證碼的軟件!科技新聞網本意良好,但他們忽略了幾點。

第一,駭客很忙,他們如果有更容易下手的對象,才懶得套你手機號碼呢!除非你是大公司高層、政治領袖、異議份子。如果你有用SMS接收驗證碼,在駭客眼裡,你就不是那麼有吸引力。第二,就算你有在使用可以接收驗證碼的軟件,一般上網站還是會額外提供通過 SMS 接收驗證碼的功能,以防萬一;你必須特地關掉該功能,否則戶口沒更安全。第三,很多網站 —— 尤其是銀行網站 —— 只支持用 SMS 接收驗證碼。資料顯示90%網民連基本的 SMS 版 2FA 都沒在用,此時煽情地強調 SMS 接收驗證碼的風險,反而令很多本來考慮啟動 SMS 版 2FA 功能的人繼續用不安全的密碼輸入方式,變成好心做壞事。

科技公司總是在安全跟方便間取捨,最好找到恰當平衡。與此同時,科技不應該只有科技,還必須有符合人性的設計;如較多智能手機款式早就從普通密碼登錄換去指紋識別,這兩三年更紛紛換去更方便的臉部掃描。每次登入手機的方法變得方便,都會有一大堆科技迷跳出來說,新的方法沒舊的安全,輸入密碼才是王道,而且密碼必須夠長和複雜,別只六個號碼。但如果每次用手機都得輸入十六個號碼,多數人只會放棄用密碼。犧牲掉一點點安全換來方便,反而鼓勵更多人用「不是最安全」但有用好過沒用的安全功能。至善者,善之敵也,不只政治是如此,科技也是如此。