密碼稽核是多數資安計畫中的標準作業之一。它有助於組織證明合規性、降低明顯風險,並確認基本控制措施已到位。然而,在許多情況下,出現在稽核報告中的帳戶,並不一定是攻擊者實際鎖定的目標帳戶。大多數密碼稽核聚焦於複雜度與到期政策等指標。雖然這些很重要,但此類稽核往往忽略潛在風險,例如權限過高的使用者、被遺忘的存取權限、服務帳戶,或已在資料外洩事件中曝光的憑證。
要理解這些風險,必須檢視密碼稽核通常存在哪些不足,以及資安團隊如何在不忽視法規要求的情況下,使稽核更有效。
缺乏情境的強度無法阻止攻擊
密碼稽核通常從強度規則開始:最小長度、複雜度要求、定期更換政策,以及對常見弱密碼的檢查。然而,如果僅止於此,則會忽略攻擊者實際尋找的關鍵漏洞,包括:
- 重複使用的密碼
- 在過去外洩事件中曝光的憑證
- 與組織或產業相關的可預測模式
一組密碼可能符合所有合規要求,但在特定情境下仍然容易被猜測。例如,一名醫院員工使用類似 Healthcare123! 的密碼,技術上可能符合複雜度規則,但攻擊者可以利用針對性的字典輕易破解。
更糟的是,某些看似「強壯」的密碼其實早已外洩。如果該密碼曾在其他資料外洩事件中曝光,攻擊者只需直接登入即可。一項研究指出,在 8 億組已知遭入侵的密碼中,有 83% 原本符合監管要求。
若未進行外洩密碼篩查,稽核便會產生落差,使帳戶在文件上看似安全,但實際上仍然容易遭入侵。這對高價值帳戶尤其危險,因為一次成功登入可能開啟更廣泛的存取權限。
替代作法:現代化的稽核應包含外洩密碼篩查與風險導向優先排序,將焦點放在攻擊者最可能鎖定的帳戶上。
孤兒帳戶未被稽核
一般而言,密碼稽核假設重要帳戶皆屬於現任員工。然而,在許多環境中,並非所有有效帳戶都對應現任人員。攻擊者深知此點,因此「孤兒帳戶」成為極具吸引力的目標。前員工帳戶、承包商帳戶、測試帳戶或未納入正式身分流程的影子 IT 帳戶,在企業環境中十分常見。
這些帳戶可能長期存在卻無人注意,且通常控制措施較弱,例如使用過期密碼或未啟用多因素驗證(MFA)。若攻擊者取得舊承包商帳戶的有效憑證,可能在不觸發與特權帳戶相同警示的情況下取得存取權。
替代作法:密碼稽核應涵蓋休眠帳戶、外部帳戶與未連結人資系統的帳戶,並結合定期存取審查與自動化撤銷機制。
稽核忽略高價值服務帳戶
以使用者為中心的密碼稽核常忽略服務帳戶,而這些帳戶往往擁有過高權限,且密碼永不過期。從攻擊者角度來看,入侵服務帳戶可獲得長期存取權,且不會像特權使用者登入那樣受到高度關注。結果是,組織可能通過密碼稽核,但最具風險的帳戶卻未受到有效管理。
替代作法:稽核應明確納入服務帳戶,特別是具有高權限者,並透過憑證保管庫、強制定期輪替與最小權限原則降低風險。
單次稽核無法應對持續威脅
稽核只提供當下的密碼衛生狀況。然而,基於憑證的攻擊是持續發生的,風險可能在一夜之間改變。最常見的例子是憑證填充攻擊。攻擊者利用在某一事件中外洩的帳號與密碼,嘗試登入其他服務,賭使用者重複使用密碼。因此,一個今天完全合規的帳戶,明天可能因其他系統外洩而遭入侵。
對於大型組織或具外部登入入口的系統而言尤其重要。攻擊者不必破解密碼規則,只需重複使用已在地下市場流通的憑證即可。
替代作法:強化密碼稽核應包含持續監控機制,包括定期與最新外洩資料比對、監控異常登入模式,以及將密碼安全視為持續控制。
如何進行安全的密碼稽核
若目標是降低遭入侵的可能性,而非僅通過評估,稽核必須反映攻擊者的實際行為模式。至少應包括:
- 將密碼與已知外洩資料比對,而非僅檢查複雜度
- 優先檢查高價值與特權帳戶
- 涵蓋孤兒帳戶與休眠帳戶
- 明確納入服務帳戶
- 建立持續監控機制,而非僅依賴定期快照
- 評估 MFA 的韌性,特別是敏感系統
某些工具可透過唯讀方式掃描目錄服務,協助識別不活躍的特權帳戶或已遭入侵的密碼。Specops Password Auditor是其中一種解決方案,可以透過對 Active Directory 進行唯讀掃描,幫助組織評估其密碼健康狀況,並標記諸如不活躍的特權管理員帳戶或洩露的密碼等漏洞。
資料來源:https://www.bleepingcomputer.com/news/security/why-password-audits-miss-the-accounts-attackers-actually-want/