IT团队在员工入职时忙得脚打后脑勺。新来的同事需要设备、账号、访问权限,还有密码,所有东西得在一个紧巴巴的时间窗口里备齐。通常这就意味着,得先给个一次性“首日密码”,让人家能进系统。但麻烦的是,这些临时凭证并不总是真的临时。有时候它们就躺在电邮或短信里,跨账号重复使用,甚至压根没人想着改。结果呢?入职流程里凭空多出一大块本不该有的风险敞口。
对攻击者来说,搞到这些管理马虎的入职凭证,就跟捡到一把万能钥匙差不多。想在不拖慢新人节奏的前提下把入职环节搞安全点,先得整明白一件事:为啥那些司空见惯的密码共享方式,本身就是个坑。
最常用的操作,是把初始凭证用明文通过电邮或短信发过去。快是真的快,碰上入职旺季简直太省事了。但这么干等于把密码贴在公告栏上——消息要是被截获、转发,或者被人在没防护的设备上打开,攻击者立马就能登入公司账户和系统。另一种方法是口头传密码,当面讲或打电话说。这倒能降低线上拦截的风险,可它自己又带出一堆麻烦:IT得跟新人凑时间,要是让经理或第三方转达,流程更容易乱套。密码经手的人越多,被搞丢或泄露的几率就越大。
说穿了,这俩办法都不算安全,也撑不起规模。很多时候,组织就是在便捷和安全之间踩钢丝,结果那些临时密码没成短期过渡,反倒沦为一座长期蹲着不走的弱点。
传统的入职操作之所以有风险,根源就在于你非得先把临时密码塞给人家。市面上现在有专门治这个的招儿,比如Specops First Day Password,这东西属于Specops uReset的一部分,核心逻辑就是把分发首日密码这一步直接省掉。员工不用再等着一封带临时凭证的邮件或短信,而是自己动手丰衣足食——走一个安全的登记流程。
具体怎么玩?用户会收到一个登记链接,渠道可以是个人邮箱、短信,或者在已加入域的设备上点“重置密码”。然后拿个人邮箱或手机号验明正身,当场就能创建一个从一开始就符合公司策略要求的密码。这么一来,凭证被截获或胡乱处理的风险压下来了,IT和新人的体验反倒还顺溜了不少。
大多数入职凭证本是临时工,但据相关消息,它们常常赖着不走,最终变成永久漏洞。而像上述这种让新人自主设密的路子,恰恰掐断了这条风险链。
热门跟贴