資訊安全很重要但是絕不能變成是藉口,
什麼都說是為了資訊安全然後這個也不行那個也不作,
早已過時的的機制和作法總是永遠不變.....的擺爛
更多一開始就是錯的觀念,無腦人們卻前仆後繼的跟循,
早在2013年中華電信的信箱強制要求改變密碼時就已經嚴正提出是錯誤的政策,
不過想也知道,無腦人們即便無法反駁,仍會一意孤行
強制要求改密碼的措施,之前建議過許多網站,後來都有改掉,
最近幾個被建議的玉山和法國巴黎還有華碩,
雖然都嘴很硬,不過2年後發現也是陸續都改掉了...
今天很幸運,突然想登一下中國人壽,就又遇到強迫改密碼的狀況,
這網站很煩,連留言的功能都沒有,只好浪費時間打一下0800看誰倒楣了!
雖然想和氣的建議,但果不期然直接就回是為了安全考量要用戶配合,
只好算她倒楣,簡單論述一下他們的作法有多不對之後,就謝謝不連絡了~
看下次要幾年後我才又會想登登看
去年有篇文章,很沒有人氣
讓我們受苦於想出複雜密碼的始作俑者,說他也後悔了...
其實如果平時有留意,就會發現很多網站的登入,於要求更改密碼的措施都是可以選擇不變動的,
而近來有更多的網站都會伴隨著登入,發送登入通知給用戶,這樣其實對安全才比較有助益!
因為密碼改來改去是沒有任何幫助的,怎知你剛改的密碼就不會是剛好是正要被猜被試的呢?!
再者,大家在設密碼時,或多或少會在密碼裏藏有個資! 怎麼個資法都朗朗上口的時代,
確鮮有人認為那些強迫新密碼不可和前幾次一樣的系統有多不妥呢!
難道用戶們都不覺得那代表系統偷偷保留了你的多組密碼嗎? 這有多恐怖阿!
然後來看看有一些看似思慮很周到的說法:
要稽核有沒有換過密碼還是稽核密碼內容有無避開風險會比較容易呢?
相較之下因此就選擇了前者, 即使明知道換密碼對安全毫無直間關係,
確為了有做點事故意找事作,為了表示自己的價值嗎? 根本只是便宜行事而已~
也就是我常說的企業空轉,殊不知現今企業因為稽核的業務提高了成本,
卻反而造成的風險和損失卻是越來越高,比中毒和和被駭的影響更鉅!
比如要稽核密碼有沒有改,隔天就一堆系統停擺是吧!!
也如同元大紐約人壽的電子送金單,直接嵌入網路上的圖像一樣的可笑,
偌大一個單位都沒沒人發現嗎? 說好的稽核呢? 總經理章不見了吧!
當我收到第一次電子送金單就發現問題了,吃飽太閒的我當然剛好有時間好心去留言反應,
人家客服也一定是被哀踢技術人員安撫過對我嗤之以鼻然後假意虛心受教,
然後105年6月開始才如同我的建議改用PDF, 你說好笑不好笑?
不過以前總經理章在雲端高懸,人人都可引用的狀態下,
人家總經理都沒表示什麼了,我們也沒什麼好說的,
不要見笑登秀氣就好了!
看看印章上頭的負責總繳人於105年2月已經換人了,
就不知是否是因為換了人才注重這個問題,
還是換了人習慣性的改制而已了~
留言列表
