零基資安訓練營(二十七):人與電腦之互動,應成系統的核心組件
文:薯伯伯
有一句說話,在資訊保安界別裡面算是老生常談,那句說話是:「保安系統裡最大的漏洞是用家本身。」這句話的意思,是說即使保安如何森嚴,只要有人類存在,就總會犯錯誤。
其實想深一層,這句話可以是對,也可以是錯,更可能反映了系統設計者與使用者之間缺少了應有的互動。其中較近期的例子,是在 2020 年美國花旗銀行的職員誤把化妝品公司原定向債權人支付的 800 萬美元貸款利息,錯誤輸入為還款 9 億美元,導致嚴重虧損(詳情請看 https://hk.appledaily.com/international/20210217/SYSVBALFJZB2JP5M3FHHRHAKNU/)。
聽起來好像是職員的問題,應驗了「保安系統裡最大的漏洞是用家本身」,但在設計系統時,如果程式員、管理層與用家多作協調,就可能預測到用戶有機會錯誤把還款金額與利息金額混淆,在設計程式之時,已經能自動避免類似錯誤。如果把一切的錯誤都怪罪於使用者,雖然也是事實,但卻忽略了人類與電腦之間的互動(HCI,Human Computer Interaction)。
我警惕自己在撰文推廣資訊保安時,也應避免踩入類似的誤區。有讀者跟我說,太多保安措施,反而無從入手,又或會有「防賊疲勞」。原則上保安的措施應該要方便易用,成為讀者日常生活的一部份,級別越高越好,但如果用家根本無法適應,是否可以按使用者個人的適應能力,再作相應調整?
我的資訊保安文章,雖然想儘量做到「零基礎」,但有時也會把一些基礎知識當作「人所皆知」的常識,部份讀者未必能跟隨。反而想提及兩個小例子,算是示範了因應不同人的情況,而給出更符合當事人使用習慣的保安方式。
一,長者的手機密碼
話說有次遇到一位長者,手機完全不設開機密碼,說是因為擔心記不住,用 Touch ID 又不方便(指模不清),手機又沒有 Face ID。我之前寫過一篇文章,提及密碼要有 11 個位或以上才算較為安全,但現在面對的,是一位連開機密碼都嫌多的長者。
長者說自己的手機「沒有任何秘密」,但我問長者,如果有壞人檢到手機,打開他的 WhatsApp,發訊息給他朋友騙財匯款買點數卡之類,他的朋友會否上當。長者猶豫了,最後決定使用密碼。
但這組密碼,只有四個位,而且是舊居電話的最後四位數字。這個保安級別當然不足,但以他的情況,最大的風險只是別人檢到手機,而不是面對以色列貴價軟件的入侵,那麼這個措施,總比完全不設防好。如此的保安方法不佳,但也算是與用戶互動及商量之後,採取一個較為折衷的方法。
二,電郵的二步認證
有一位朋友,本身對電腦不熟悉,電子郵箱的密碼寫在紙版的筆記本上,密碼簡單到我過目不忘。我一看到他的情況,第一時間就想叫他更改所有密碼,以後使用密碼管理器去記錄。
但問題是,他目前無法適應,有可能連最簡單的登入都做不了。如果一味只顧提升保安級別,卻連登入都做不到,那是矯枉過正。
所以最後我給他的建議,是先啟用二步認證,但他的手機不適合使用 Authenticator,且多年以來沒有固定的手機號碼,連 SMS 認證都做不到。最後我給他選定的方案,是使用固網電話,每次登入帳號,Google 均會自動打電話去指定的固網電話,以廣東話或普通話說出六個數字,輸入後便可登錄。這個方法當然有其他隱憂,我自己就絕對不會使用這些方法,但以該名用家的情況來說,起碼可以防止較為低端的遠程攻擊,總比只有一層密碼(而且是過目不忘的密碼)來得安全。
結論:
以上兩個例子,不是說我認同那些保安措施,但按用家的能力或其他條件,選取更為合適的保安措施。而非一味追求更高的保安級別。
設計資安措施時,切忌把用家當成是必然的潛在漏洞,處處要求用家接受高度培訓。更應在設計資訊安全的方案時,把用家的執行速度、效率、學習能力、記憶能力及使用取向等納入其中,才不致於本末倒置。
照片:Unsplash / Cameron Armstrong
🔑 【資訊保安文章整理,超務實長清單】 https://www.patreon.com/posts/46192115
▶️ 請訂閱 Patreon 頻道,支持不受干預的獨立創作及評論 | www.patreon.com/pazu
花旗銀行更改手機號碼 在 [閒聊] 花旗抱怨文- 看板creditcard - 批踢踢實業坊 的美食出口停車場
近期原本的花旗卡到期,收到銀行寄來的新卡
想要開卡卻收不到OTP簡訊才想到我之前換了手機號碼 但花旗這邊沒有變更
剛好女友也講了 我這張卡現在有新的版本,Mastercard 有2%回饋
就順便詢問客服
客服告訴我要變更電話號碼一定要跑一趟分行!?
變更完成後才能辦理轉卡(將我手上的Visa轉為Mastercard
剛好公司隔壁大樓就有花旗的分行,還不算太麻煩
午休時間跑了一趟分行,櫃台幫我印證件讓我簽名外
又撥了一通電話給客服(?,客服又跟我核對一次資料
最後告訴我 等我收到EMAIL通知電話變更完成後再用他發給我的連結辦理轉卡
過了一兩天,收到Email通知變更完成後,點了連結進去,
結果上面顯示的電話號碼 還是舊的號碼,我一樣收不到OTP簡訊
再次撥客服(這是第三通),客服又核對一次資料,跟我說她看到資料變更完成
要發一封OTP簡訊,請我收看看,想當然,收不到,
不過這時候手機剛好響了 就先掛電話
這時候再撥第四通,這第四個客服態度蠻糟的,不過我在跟她敘述之後,
她總算跟我講了原因,因為我雖然辦完變更手續了,
但花旗的系統要"一個月"後才會生效,所以我是不可能辦理線上轉卡
我就接著質問她那前三個客服是怎麼回事? 她只回答 她會再告知他們(???
然後告訴我隔天會再有一個客服跟我聯絡協助我辦理轉卡
隔天接到客服來電(第五通),劈頭就說X先生我來協助你辦理線上轉卡
我先發個簡訊給您(????,我就直接問她是要發哪個號碼,
順便跟她提昨天有客服跟我說要一個月後才能生效
這時候客服就馬上道歉,跟我說她會改寄紙本文件給我,
到時候我拍照EMAIL回傳或是回郵信封寄回都可以
這結論就是 花旗的服務真的是有夠扯,不知道是不是確定要賣掉信用卡業務了
所以大家就隨便做
1.變更電話號碼手續超麻煩,除了要跑分行,還要等"一個月"才會生效,真的是世界奇觀
2.客服竟然完全不知道自家系統變更完要一個月才會生效,還連續三位
3.我已經打了N通電話,客服也沒交接清楚,就說了收不到簡訊,
最後一位打來還想要叫我收簡訊?
總之真的是吐血
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 111.71.213.209 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/creditcard/M.1660982426.A.1C1.html
... <看更多>