國家資通安全研究院提醒勿用有規則性弱密碼

記者吳典叡／臺北報導

國家資通安全研究院最新資安週報指出，有機關公務相關帳號遭異常登入、使用或新增，疑因使用具規則性的弱密碼遭破解所致。因此提醒，包括鍵盤順序、常見模式，或常見詞彙字符轉換等，均屬有規則性的弱密碼，易被攻擊者快速猜測破解。

資安院第10期資安週報顯示，在公務機關非法入侵事件中，有公務相關帳號遭異常登入、使用或新增，經查為機關人員疑用具規則性的弱密碼遭破解所致。

資安院指出，雖然某些密碼表面上，符合系統規定的長度與複雜度，但若屬於有規則性的弱密碼，例如鍵盤順序、常見模式或常見詞彙的字符轉換，如：qazwsx、p@ssw0rd，仍存有潛在風險，容易被攻擊者透過字典檔或自動化工具快速猜測破解。

資安院強調，建議機關加強對弱密碼偵測，除長度與複雜度外，應將常見密碼設定模式納入黑名單，並導入多因子認證（MFA）降低密碼外洩風險，同時，強化異常登入監控，偵測大量嘗試或異地登入時自動鎖定，或要求額外驗證，並加強員工教育，讓使用者了解鍵盤順序或簡單替換仍屬弱密碼，應避免使用，以全面提升資安防護。