資安署示警帳密安全3大威脅 呼籲落實防護原則

記者郭曉蓓／臺北報導

數發部資安署今（12）日舉行記者會，宣導帳號安全的重要性。資安署長蔡福隆示警，目前仍有大量使用者習慣使用「弱密碼」，甚至「一碼多用」不同網站都使用同一個密碼，是資安防護最大破口，建議民眾可以藉由加強密碼複雜度、啟用兩步驟驗證、定期檢視登入活動等3大帳密防護原則，防範帳密遭盜用風險。

資安署說明帳密安全性不足的3大威脅現況，首先是使用好猜測的「弱密碼」，真實案例有某機關內部設備對外連線異常，原因為未檢視防火牆政策，並以常見鍵盤排序 設定密碼，導致遭暴力破解並植入惡意程式。「弱密碼」是指太簡單、太短的密碼，或使用電話、生日、身分證字號等個人資訊，如 「 123456 」 、「 admin 」或以鍵盤排列順序「QWERTY」等這類密碼，利用自動化工具幾乎可瞬間破解，呼籲民眾切勿使用。

其次，在社群媒體、電子郵件與網路銀行「使用相同密碼」，一旦其中一個遭駭，將導致各平台、服務的帳密連鎖遭竊不得不慎。曾有某公司發現部分會員帳戶遭盜用兌換，經警調單位追查，發現駭客購買大量外洩帳密後，採撞庫攻擊反覆利用外洩帳密嘗試登入，最後成功登入盜用點數兌換商品券，購買商品後變賣牟利。

第3種是社交工程攻擊手法，點擊釣魚郵件、偽冒網站、惡意簡訊、偽冒檔案、偽冒連結等。某機關臉書遭駭客上傳不當影片，調查發現臉書管理者為離職員工私人帳號，因該員工誤點社交工程郵件，導致管理者帳號密碼被盜用，臉書私訊對話曾留存⺠眾報名資料，恐有個資外洩疑。

為有效防範此類風險，資安署提供3大帳密防護原則，包括「強化密碼複雜度」，密碼長度至少15個字元，並混合大小寫英文、數字及特殊符號，或使用密碼管理工具生成及管理密碼，避免使用個人生日、電話等易被猜測資訊。其次「啟用兩步驟驗證」，以使用密碼登入外增設第二個驗證步驟，如開啟簡訊驗證碼、臉部或指紋驗證，使用身分驗證器等，並優先為網路銀行、Google、LINE、社群媒體等重要網路服務進行設置。

第3是「定期檢視登入活動」，建議每月至少檢查1次帳號的登入紀錄，透過檢視登入的時間、地點或裝置設備，確認是否有不明的登入行為，注意異常存取或異常登入地點，如發現來自陌生國家或城市的登入紀錄，應立即登出所有裝置，立即變更密碼，並啟用兩步驟驗證。

資安署強調，帳號安全攸關民眾的隱私與財產，強化密碼設定加上啟用兩步驟驗證，將可大幅度減少帳密遭盜用情形，保障國人隱私與財產安全。