Slack 安全設定指南:保護你的工作對話
完整的 Slack 工作空間安全指南。了解私訊與頻道的安全差異、外部分享風險、雙因素驗證設定、管理員控制,以及不應在 Slack 中分享的資訊。
Slack 安全設定指南:保護你的工作對話
Slack、Microsoft Teams、LINE WORKS——職場通訊工具已是現代工作不可或缺的一部分。特別是 Slack,在台灣的科技業和新創公司中越來越普及。但方便的背後,機敏公司資料、客戶資訊和個人資料每天都透過這些工具流通,安全風險也隨之增加。
一個設定上的疏忽,就可能導致公司機密外洩。
私訊 vs 頻道:了解安全差異
很多人以為 Slack 的私訊是完全私密的。但事實並非如此。
| 功能 | 私訊 | 頻道 |
|---|---|---|
| 管理員可查看? | 是(付費方案的合規匯出) | 是 |
| 其他人可搜尋? | 否 | 公開頻道:是 |
| 離職後仍保留? | 是 | 是 |
| 可匯出? | Enterprise Grid:是 | 是(所有方案) |
重點: Slack 中的所有訊息(包括私訊)都可能被公司管理員閱覽。如果你不會寫在公司信件裡的內容,就不要在 Slack 裡發送。
外部分享的隱藏風險
Slack Connect 讓你可以與外部合作夥伴協作,但也產生了安全盲點:
1. 與廠商的共享頻道
外部夥伴加入的頻道可以看到訊息紀錄、上傳的檔案和釘選的文件。如果有人誤將內部文件分享到錯誤的頻道,外部人員會立即看到。
2. 沒有到期時間的檔案分享
上傳到 Slack 的檔案預設不會過期。六個月前分享的合約 PDF?頻道中的所有人仍然可以下載——包括後來加入的人。
3. 訪客帳號累積
單頻道和多頻道訪客會隨時間累積。2024年合作過的外包廠商可能仍然有存取權限。
解決方案: 每季度審查外部成員和訪客帳號。移除不再需要存取權限的人。
設定雙因素驗證(2FA)
如果工作空間沒有強制 2FA,一個被釣魚的密碼就可能導致全面入侵。
個人 2FA 設定方法
- 前往個人檔案 → 帳號設定
- 點選雙因素驗證 → 設定雙因素驗證
- 選擇驗證方式:驗證器應用程式(建議)或簡訊
- 將備用驗證碼儲存在安全的地方
管理員:強制開啟 2FA
在設定與管理 → 工作空間設定 → 驗證中,要求所有成員開啟 2FA。不設例外。
小技巧: 將 2FA 備用驗證碼儲存在 LOCK.PUB 的密碼保護備忘錄中。比存在 LINE Keep 或記事本裡安全得多。
必要的管理員設定
如果你是 Slack 管理員,工作空間建立第一天就應該設定好這些:
| 設定 | 建議值 | 原因 |
|---|---|---|
| 訊息保留期限 | 自訂(一般:90天,合規:長期) | 限制被入侵時的曝光範圍 |
| 外部檔案分享 | 限制 | 防止意外資料外洩 |
| 應用程式安裝 | 需管理員核准 | 封鎖未經授權的整合 |
| 電子郵件顯示 | 對外部使用者隱藏 | 減少釣魚攻擊目標 |
| 頻道建立 | 內部:開放,Slack Connect:限制 | 控制資訊擴散 |
| 工作階段期限 | 最長 30 天 | 強制定期重新驗證 |
應用程式權限管理
第三方 Slack 應用程式是主要的攻擊途徑。
- 每季度審查現有應用程式
- 立即移除未使用的整合
- 新應用程式安裝需管理員核准
- 檢查 OAuth 權限範圍——一個簡單的投票應用程式真的需要讀取所有訊息嗎?
絕對不應在 Slack 中分享的資訊
這不是多慮——這是基本常識:
- 密碼或 API 金鑰 — 使用密碼管理工具或金鑰保管庫
- 信用卡號碼 — 即使是部分號碼也不行
- 身分證字號 — 只能透過加密管道分享
- 未加密的客戶資料 — 尤其是受《個人資料保護法》規範的情況
- 薪資和人事資訊 — 使用正式 HR 系統
- 法律文件 — 在 Slack 中可能失去保密特權
安全分享機敏資訊的方法
不要直接在 Slack 中貼上密碼,使用密碼保護的連結。在 LOCK.PUB 上這樣操作:
- 將機敏資訊寫入加密備忘錄
- 設定密碼
- 將 LOCK.PUB 連結分享到 Slack
- 透過其他管道(LINE、電話等)傳送密碼
資訊經過加密,只有知道密碼的人才能存取。比在可搜尋的 Slack 紀錄中留下明文安全太多了。
安全檢查清單
每季度檢查以下項目:
- 所有成員已啟用 2FA
- 訪客及外部帳號已審查和清理
- 應用程式權限已審查,不必要的整合已移除
- 訊息保留政策已適當設定
- 機敏頻道的檔案分享已限制
- 團隊已接受安全教育訓練
- SSO 已設定(Enterprise 方案)
帳號被入侵怎麼辦
- 立即變更密碼並登出所有活動中的工作階段
- 通知工作空間管理員 — 他們可以強制登出所有裝置
- 檢查已連結的應用程式 — 撤銷不認識的 OAuth 權杖
- 檢視近期訊息 — 查看是否有非本人發送的內容
- 啟用 2FA(如果尚未啟用)
總結
Slack 是為效率設計的工具,不是為安全性設計的。預設設定優先考慮協作便利性,因此安全防護需要管理員和團隊成員主動去做。
今天花 15 分鐘檢查一下工作空間設定,啟用 2FA,建立關於哪些資訊不應在 Slack 中分享的明確規範。
如果確實需要將機敏資訊傳遞給同事,跳過 Slack,使用密碼保護的連結。