據 abc news 報導,位於法國巴黎的羅浮宮博物館上個月發生重大竊案,在短短七分鐘內,價值高達 1.02 億美元的珠寶即遭竊。隨著調查展開,該機構的資訊安全措施正受到嚴格檢視。而我們觀察事件中,最誇張的是從博物館內部知情員工對外透露,事發當時,羅浮宮影像監視系統的存取密碼竟是「Louvre」。
此一基礎安全設置的疏失,使博物館在竊案發生後的應對能力備受質疑。
系統性疏失浮上檯面
除了過於簡單的監控系統密碼,羅浮宮在實體安全防護上也存在著明顯的漏洞。博物館總裁兼館長 Laurence des Cars 上月在法國參議院委員會的證詞中坦承,阿波羅長廊(Apollo Gallery)外部僅安裝一台攝影機,且朝向西方,監視區域並未覆蓋竊賊出入的窗戶。
Des Cars 進一步說明,儘管博物館內部的警報器與攝影機均正常運作,但由於「資金不足」,博物館的周邊安全一直存在著「弱點」。竊賊利用了這個弱點,使用一輛裝載於卡車上的機械式櫻桃採摘機作為逃脫工具。
館方證詞與安全檢討
面對這起重大的安全事件,Des Cars 表示:「安裝在阿波羅長廊內部的安全系統運作完美。現在的問題是,我們該如何調整此系統以應對新型態的攻擊與我們無法預見的犯罪手法。」
儘管強調內部系統功能正常,Des Cars 仍坦言:「我們今天經歷了一次重大的失敗。羅浮宮的安全是我任期內的優先事項之一,我必須重申,當我 2021 年到任時,我就已經對博物館的安全狀況感到震驚了。」
調查進展與嫌疑人背景
目前已有四名嫌疑人因此案被起訴,但仍有一名涉案人員在逃。令人意外的是,這些嫌疑人似乎並非隸屬任何有組織的犯罪團體。
最先被捕的兩名嫌疑人分別是39歲的計程車司機和34歲的送貨員兼垃圾工。他們的 DNA 在犯罪現場被採集到,而兩人也坦承部分涉案事實。該名失業的垃圾收集工是在巴黎戴高樂機場準備登上一架飛往阿爾及利亞的單程航班時被捕的。
另外兩名被起訴的嫌疑人分別是37歲的男子及其38歲的同居伴侶。調查仍在持續,但這起竊案已然凸顯了這座全球頂級博物館在基礎安全管理上的巨大裂痕。
從「Louvre」密碼看資訊安全的盲點
羅浮宮事件揭示了全球企業與組織在密碼管理上的共同隱憂。以「Louvre」作為機構帳號密碼,屬於高風險做法,極易遭自動化工具破解。這類弱密碼通常落入「字典式攻擊」或「預設密碼」的範疇,駭客會利用收錄數百萬組常見密碼與預設帳號資訊的清單,透過程式自動嘗試登入。當密碼過於簡單太好猜,甚至是與組織名稱相似 (因此現在不少系統的密碼原則設定都會要求,密碼不能和使用者帳號、組織的資訊有關連字詞),或仍沿用出廠預設設定時,就幾乎形同未設防。
對任何組織而言,建立多層次的縱深防禦體系,首要之務就是強化存取控制,必須先確保帳號安全與權限分級明確,後續的防護層(如網路監控、資料加密與異常偵測)才能真正發揮作用。
專業密碼管理策略
CyberQ 認為,依據我們常規 ISO 27001 相關規範與做法,目前市場上我們需要的專業密碼管理策略應包含:
1、強制執行複雜性原則:嚴格禁止使用與組織名稱、服務、或「admin」、「123456」等常用字詞相關的密碼。應強制要求密碼長度(建議至少 12 字元)、並混合使用大小寫字母、數字及特殊符號。
符合 ISO 27001:2022 Annex A 8.5 Secure authentication,該條款要求實施安全認證程序,包括強制使用強密碼,涵蓋長度、複雜性,並避免使用常見或易猜詞彙,以保護資訊存取。
2、導入多因素驗證:對於關鍵系統(如影像監控、財務系統、伺服器後台),僅憑一組密碼絕對不足。組織應強制啟用多因素驗證(Multi-Factor Authentication),透過手機應用程式、硬體金鑰或生物辨識提供第二層防護。
符合 ISO 27001:2022 Annex A 8.5 Secure authentication,該條款強調使用多因素認證等安全方法來驗證使用者身份,加強對敏感系統的存取保護。
CyberQ 在多家客戶實際用到的方式是開啟多因素驗證後,可以試著調整 ISO 27001 關於密碼的程序書,把 90 天、180 天需要更換密碼的原則改掉,在有強密碼負責性原則落實的情況下,]增列啟用多因素驗證後就不用定期去改密碼,減少使用者困擾外,也減少用戶修改密碼時只加上一個數字或改個字母,而導致更好被猜測中。
3、落實最小權限原則:並非所有員工都需要存取監控系統。組織應落實「最小權限原則」(Principle of Least Privilege),確保帳戶僅被授予執行其職務所必需的最小權限,並定期審核權限分配。
符合 ISO 27001:2022 Annex A 5.15 Access control,該條款要求定義存取規則,基於最小權限原則和需要知道原則,規管對資訊資產的存取。
4、採用特權存取管理:針對具有高權限的帳戶(如系統管理員),應導入特權存取管理(Privileged Access Management, PAM)以集中控管、監測並記錄所有高權限操作,同時強制執行密碼定期更換,確保權限使用的可追溯性與安全性。
符合 ISO 27001:2022 Annex A 8.2 Privileged access rights,該條款要求限制並控制特權存取權的分配、管理和審核,包括記錄使用和定期檢視,以降低風險。
很多公司、機構、家庭與個人在密碼管理的疏失,往往是造成重大安全事故的開端,換言之就是防駭破口。羅浮宮的經驗讓更多人需要重新思考,即使是最先進的實體防護,也可能因一個簡單的數位密碼而形同虛設,因此儘量不要讓自己成為資安防線的破口,是我們儘量要做到的原則。
本文題圖及配圖由 Google Gemini AI 生成
