坐在电脑前,按下Ctrl+Alt+Del,输入123456 或是654321?登录WINDOWS成功,可惜,此时坐在你电脑前面的人并不是你。 一般公司为员工分配的域帐号基本上有两类,一类是共用帐户,另一类是私人帐户。前者的使用对像可能是一个部门中的所有人,比如一家超市大卖场的行政部,域帐户可能是admin3001,后者的使用对象一般为个人,比如办公室中的员工,并且此类域帐户基本以个人命名,例如GaryLee。
在域模式下,一个域帐户可以在任何一台PC上登录,部门员工可以很方便的进行工作,共享服务器上的存储空间、交换文件等,且不用担心其它部门的员工在未经允许的情况下访问本部门的共享空间,当然这是理论状态,实际情况却往往不是如此,非行政部人员有时因为工作需要常常要使用行政部的电脑,久而久之,这名员工可能也就知道了行政部的域帐户密码,再接下来可能也就变成了众人皆知的秘密。在这里我要说的不是资料泄漏或文档被人恶意修改之类的情况,这类事件肯定会发生,只是迟早的事,我想说的是有些人可能会用本不属于他的帐户做一些很“恶劣”的事情。
我想任何一位公司员工的邮箱中都收到过攻击或诋毁公司某某员工(领导)的“广播”邮件,发件人的动机很简单——发泄心中的不满,这种邮件往往让人很难堪,因为邮件中所描述的事情可能真有其事,一旦被暴光,后果很严重。为了尽量避免这种情况,很多公司对EXCHANGE服务器做了一个设置——每封邮件同时只能发给较少数量的收件人(例如30人,但对个别帐户开放群发权限,如HR),贼人必竟胆子小,不可能长时间的停留在某台电脑前用OUTLOOK发送这类邮件,但如果这个贼人稍有电脑操作经验并且蓄谋已久,这时就比较麻烦,他可以在OUTLOOK的“草稿箱”中准备多封邮件,然后瞬间将它们全部发出。
笔者曾在一家公司实习,这家公司开放了EXCHANGE服务器的WEB访问方式,所有员工都可以通过IE来访问邮箱,多人同时使用非常方便,笔者没到几天就出现了一封“暴光”邮件,随后公司IT部门接到总公司指示,为每个邮箱帐户设置OUTLOOK客户端,并且每帐户只允许设置在一台PC上,总公司将在随后关闭EXCHANGE服务器的WEB访问方式。于是我同IT一起忙了一天,搞掂了所有邮箱用户的OUTLOOK设置。
上面唠叨的种种,基本上还都算是一个公司内部的“家务事”,而且这类邮件几乎都来自“相对公用”的邮箱帐户。所以邮箱的真正使用人一般也不需要承担什么责任,因为客观条件就摆在那——邮箱的使用人并非一个人,而一个部门,在管理上是有难度的,同样也很难追究相应的责任。
但如果这类邮件是从某人的私用邮箱发出的会如何?当事人肯定难辞其咎,就算可以证明非本人所为,但……我想人力资源部门的经理和当事人的直属经理肯定会找当事人去谈话。
如果这样的事情发生在两家公司之间会如何?而且是正在进行业务合作的甲方乙方。试想这样一个情况,两家公司有着业务合作,乙方做为服务提供方,负责维护甲方的IT事务。甲方有一名员工F因为一些不愉快的事情打算辞职,因为平时与乙方J关系不错,当F问J他的工作用帐户密码时,J就告诉了他。在F打算辞职数天后,他做了件惊人的事,同时也是件很不走大脑的事,F在网上找了些不雅的图片,将那些图片远程复制到公司某部门的PC上,然后截图作为“证据”,随后F用J的邮箱以“检举人”的立场把邮件发给了甲方的CEO、CIO、EVP、营运及IT高级经理等等,这是非常恶劣的事件,直接导致了客户对乙方的严厉投诉!乙方的项目经理将承受来自客户及自己老板的巨大压力。虽然没人相信这件事是J所为,F也被快速找到,但在这件事里,J要承担很大的责任,整个事件所带来的后果并不是J一个人所能承担的,甚至对两家公司间的合作也会产生一定冲击,J在工作中做为公司IT维护人员,将密码泄漏,这是严重的工作失职!
在日常工作中,IT人员在为用户解决问题时,可能会用到用户帐户的密码,你会发现,很多用户的密码非常简单,例如:123456、654321、888888、qwerty,为什么都是6位?可能跟默认密码的位数有关,IT分配给新入职员工的帐户密码一般都是6位的,用户可能下意识的认为密码只能是6位,这类密码还有一个共同的特点——数月甚至数年不变。相信很多公司对员工的帐户密码都会应用一些策略,比如限制密码长度不少于6位、每一个月必须修改密码,稍复杂一些的可能还会限制新密码不能与前5次的重复等,但很少有公司对员工的密码复杂性有要求,比如必须包括数字、大小写字母、特殊字符等。小编的观点是,密码至少应由两部分组成,比如数字+字母、字母+符号、符号+数字,用户任选,这样对密码的复杂性才会有一个最基本的限制。笔者也很懒于修改密码,为了降低记忆难度,长期使用着一个密码,但与公司的策略有些冲突(新密码不能与前5次的重复),于是笔者每月修改密码时总是修改6次,最终依然改为旧密码。后来发现将此法告之办公室的同僚们时大受欢迎,以此也可以看出用户对自己域帐户密码的态度。
后来笔者所在的公司应用了一系列系统策略,安全方面包括两个,一是设置职员的电脑只允许特定(本人)的域帐户登录,二是如果一域帐户密码被错误输入(验证)三次(在域内任何PC上),该域帐户立即被锁定。在接下来的两周内为用户手动解锁域帐户成了HELPDESK的主要工作,大量的电话打来要求解锁域帐户,占用了过多的热线资源,使HELPDESK没有精力去解决其它的问题。两周过后此类CASE的Call量大幅减小,用户慢慢适应了这一系统策略,不过这两周的“混乱局面”也反应出公司职员在域帐户使用上的混乱。其间还出现过一些个案,例如一个域帐户(admin2001)频繁被锁(解锁后立即再次被锁),完全无法正常使用。当时令IT人员十分不解,检查后发现原来是另一台电脑上安装了一个即时通讯软件,该软件会随WINDOWS一起启动,并且代理服务器一项上使用的是admin2001这个帐户,密码是该帐户的旧密码。由于一些情况这台电脑一段时间内没有被使用,其间admin2001用户修改过帐户密码,当装有即时通讯软件的PC再次开机时admin2001就被锁定了。个人的帐户及密码如果落入他人手中,你不知别人会用它来做些什么,但产生任何后果帐户的所有者都要承担一定的责任。
从公司角度讲,为职员开通访问INTERNET的权限一定是为了方便职员工作,而不希望职员将便利用于他处。笔者听说过这样一件事,某天,某公司的CEO接见了公司内的两位职员,原因是这两人的上网记录显示,他们在近一个月内每天访问INTERNET都超过10小时,一位用于“淘宝(网)”,另一位用于炒股,当然同时被CEO接见的还有他们的部门负责人。
我们常能听到一些报道,某某帐户密码被盗,造成数据外泄、经济损失等,其实相对于这类个别的极端情况,更多的情况我想其表现形式要“温和”得多,别人可能只是想用你的帐户访问一下INTERNET,至于访问的内容——可能“不方便”用自己的帐户在代理服务器上做验证,或也许只是好奇你的邮箱中有什么有趣的私人邮件……。所以请保管好自己的密码。 |
發表於 2008-9-12 08:48 PM
| 
