身分驗證
身分驗證是資訊安全中至關重要的一環,公民團體在提升資安抵禦能力時應特別關注以下幾個面向:
密碼強度
- 建議使用長且複雜的密碼,包含大小寫字母、數字和特殊符號。
- 定期更換密碼,避免長期使用同一組密碼。
- 不要使用容易被猜測的個人資訊作為密碼。
參考章節
關於密碼強度的建議與設定,可以參考「密碼強度」章節。
雙重驗證(2FA)或多因子驗證(MFA)
- 除了密碼外,增加一層驗證,例如
手機簡訊、電子郵件驗證碼、驗證應用程式(如 Google Authenticator)、或生物特徵(如指紋或人臉識別)。 - 強烈建議所有關鍵系統和帳戶都啟用 2FA 或 MFA。
參考章節
關於 2FA/MFA 的建議與設定,可以參考「多因子驗證」章節。
生物特徵驗證
- 使用指紋識別、人臉識別、聲紋識別等生物特徵技術來增強身分驗證的安全性。
- 注意生物特徵資料的隱私保護和安全存儲。
單一登入(SSO)
- 將多個應用和服務統一在一個單一的登入介面上,減少多次登入的漏洞風險。例如透過 Google 或微軟 OAuth 帳號登入,不需要再而外建立新的帳號密碼登入其他應用服務。
- 確保選用的 SSO 解決方案的安全性,例如強化其密碼保護和加強其管理策略。
什麼是單一登入(Single Sign-On, SSO)
單一登入(Single Sign-On,縮寫 SSO)是一種身份認證機制,允許使用者在一次登入後即可訪問多個應用程式或系統,而不需每次都重新輸入帳號密碼。這種技術能夠大大簡化使用者體驗,同時也提升安全性和管理效率。
- 使用者便利性:使用者只需記住一組帳號密碼即可訪問多個服務,減少了忘記密碼的情況,提升了使用者滿意度和工作效率。
- 提高安全性:集中管理身份認證可以更容易實施強化的安全策略,例如多因素認證(MFA)或強密碼策略,減少了重複使用密碼的風險。
- 降低 IT 運營成本:集中化的管理能減少 IT 部門在密碼重設和帳號管理上的工作量,進而降低支持成本。
- 減少釣魚攻擊:使用者只需登入一次,減少了多次輸入帳號密碼的風險,從而減少了釣魚攻擊成功的可能性。
登入活動監控
- 實時監控登入活動,發現異常或可疑的登入行為及時處理。
- 設置登入失敗次數限制,防止暴力破解攻擊。
Google Wrokspace, Microsoft 365
在 Google Wrokspace, Microsoft 365 兩個平台的管理後台可以查看帳號登入情況,也可以設定相關的警報通知。
教育與培訓
- 定期對團體成員進行資訊安全教育,提升安全意識,減少人為失誤的風險。
- 教育成員如何識別釣魚詐騙和社交工程攻擊。
帳戶與權限管理
以下為帳戶與權限管理基本原則,可以在處理帳號與權限問題時再次審視是否有涵蓋到原則中需要注意的項目。
管理原則
- 最小權限原則(Principle of Least Privilege): 確保每位使用者或系統只擁有完成其職責所需的最低限度權限。這樣一來,即便帳戶遭到入侵,攻擊者能造成的損害也相對較小。
- 角色基礎存取控制(Role-Based Access Control, RBAC): 根據使用者的職責和角色分配權限,而非個別分配。這有助於簡化權限的管理和審計。
- 定期審查和調整(Regular Reviews and Adjustments): 定期審查使用者權限,確保過時或不再必要的權限及時被移除或調整。
- 即時撤銷權限(Real-Time Revocation): 當使用者離職或角色改變時,應該即時撤銷或調整其權限,以防止未經授權的存取。
- 細粒度權限控制(Fine-Grained Access Control): 根據具體情境設置更加精細的權限控制,比較常見的例子有 IP 地址、時間或地點的限制。
這些手段相互配合,可以有效提升公民團體在面對身分認證相關威脅時的防禦能力。