N年前在唸書的時候, TANet剛起來學校計算機中心幫每一個學生建立email帳號
像這樣 s8123456@mail.XXXX.edu.tw 以學號開頭小老鼠在中間後面接學校郵件主機的DN
於是我們就以帳號 s8123456 當密碼, 把各系全大一新生帳號全 try 過一遍, 你猜猜成功機率有多少?
同樣幾年過後校園e化專案推行弄出一個很棒的選課系統.... 同樣 ID/Password 以學號 try 過一遍, 成功機率有多少?
畢業之後到一家新公司, 上百組email帳號同樣以帳號名稱當密碼, try 過一遍, 成功機率有多少?
玩了幾次之後, 越來越害怕.... 許多知名的學校、知名的企業, try 過一遍, 成功機率好像都不低....
過了幾年從事資安稽核工作後, 第一件事情我都會先看 稽核單位的密碼管理.
要是沒有明確密碼管理規則, 我想資安做得多好也都是空談, 也當然通不過我的稽核.
ID/Password本來就不是安全的, 正因為不安全所以才會訂出密碼長度6-8碼、文數字混合、三個月更換、N次不得重複等方式來保護系統的安全
關鍵系統甚至外加SmartCard,指紋辨識等等模組
基本上密碼的組成可以分成四組,A-Z/a-z/0-9/特殊符號, 四組裡面有三組, 長度八碼以上
就至少可到Meduim等級強度, 試看看吧.
縱使在ID/Password不安全的情況下, 維持相對的安全.. 起碼比密碼與帳號相同的方式強太多了!
內文搜尋
從 APP 打開
X