前一篇文章主要是要讓大家了解到現在的驗證機制有多麼的薄弱,接下來要跟大家一起探討的就是如何防護我們的Facebook帳密,最好做到若帳密流出了,至少還有第二線的防護,不會讓自已的FB變成困擾朋友的數位問題,雖然台灣目前沒有因為朋友帳號被駭,造成財務上損失的訴訟事件,但是在國外,已經有這種例子了...
暨MSN詐騙之後,我們近期看到的另一個詐騙手法就是Facebook的可以幫我接收一下簡訊嗎? 唉~!這種手法,真的是老到掉牙的社交工程,而且都是受害者自已出於自願,沒有危機意識的結果!在經過太多人不斷的被詐騙,加上周邊的朋友一而再、再而三的被騙到帳號,加上智慧型手機隨身有!Jason一家三口就有四隻智慧型手機,更別提現在的低頭族,滿山滿谷...
要測試存取控制有沒有做好最好的方法就是進行測試,但是在測試的階段最怕的,就是造成正在運作的系統因測試而掛點,
一般用來測試存取控制有沒有最好的就是Penetration Testing(滲透測試),不論選用何種的測試攻擊均是為了找出系統的弱點,
找出根本原因再加以修補,避免在發生事情之前先找到弱點的存在…
存取控制是透過使用者的存取過程必須被管理,那麼,有沒有更加有效的管理方式呢?
當然有,再利害的駭客,你給他的輸入界面只能輸入0~9、enter和backspace的鍵盤(Physically constrained user interfaces)
他還能有辦法在鍵盤上輸入數字以外的攻擊手法嗎???
識別管理是為了讓系統驗證並授權使用者使用系統,但存取資料呢?!存取資料是否也有存取控制,說到這個就睡了一大半了,因為…它確實很無趣,不就只是放權限嘛!那有這麼難,其實,整個放權限的過程中依照放權限的規則不同,有不同的存取控制…
識別管理一直是被認定為確保一致性的前置步驟,但在現在的社會中也如同上一個章節中所討論到的有著相當多的挑戰
如何正確的識別出使用者是『對的』使用者,一直以來就是被受注目的,Jason之前在做一個專案時
客戶即有要求,要做識別管理,當時來找Jason的場商也有現在最夯的靜脈認證(掌靜脈、指靜脈…等等) …
存取控制主要是達成Integrity(一致性),在上一篇中討論的存取控制類型及種類,是讓管理者思考在各個面象可有納入管理中
那麼,存取了系統代表可以存取資料嗎?這個答案很肯定的是錯的,有權限連入系統,不代表你可以看、修改、刪除資料
那麼要進入系統我們如何來進行存取控制呢?這個部份就以Identification…
資訊安全的存取控制可以說是決定了整個資訊安全的完整度及強度!當未經授權的人取存了極敏感的資料,是否會產生更大的安全衝擊?
而資安存取控制中,共分為三大類型及七大控制種類,每一類型中均可以七大控制種類來進行存取控制。資安的目標是做到事事有人管
而如何管、怎麼管…等,有相當多的建議做法(ISO-27002),但每一項算是何種控制種類,可能就比較難以分清楚。
Access controls(存取控制)是整個資訊安全中極重要的領域,資訊的交流、不同機密等級問題,甚至人員的進出
不管是從人、事、物,都應該有不同的資訊機密等級,因此在判斷何者可做那種資訊的讀取
或是其它人員對這個人員是不是會造成資訊外洩的問題,是否都是一個必須列入存取控制的的措施…