網站密碼強度不足時怎麼辦?
資訊安全 》網站密碼強度不足時怎麼辦?了解資訊安全檢測密碼設定規範|天矽網頁設計
資訊安全檢測,是許多企業或政府機關會對網站要求的檢測項目,透過資安檢測可揭示網站可能存在漏洞、確保網站資料安全性,防止資料外洩或受攻擊。
若網站中有設置帳號、密碼登入,在資安檢測中,也會對密碼強度進行檢查;如果密碼強度不足,資安檢測結果則可能為中風險項目。本篇文章將說明,網站資安檢測時,若發現密碼強度不足,可以如何進行調整。
資安檢測密碼強度設定建議
資安檢測中,密碼是其中一項檢測項目,如果密碼強度不足,資安檢測結果則有可能為中風險,需進行排除。資安檢測密碼強度應如何設定?以下提出幾點具體建議:
密碼設定建議:密碼應包含數字、英文大寫、英文小寫、特殊符號,密碼字串長度8~20碼;密碼長度過短、或數字組合太簡易,例如 : abc123,都很容易被破解,進而影響網站整體安全。
▲密碼強度設定建議
完成強密碼設定後,可能因時間久突然忘記自己設定的密碼,除了使用忘記密碼功能,也建議不要將密碼儲存於公開網站資訊中,像是存放於信箱、LINE聊天紀錄。若真的擔心忘記密碼,可將密碼寫在一張紙上,而這張紙放置的位置只有自己知道,例如 : 紙張放在家裡的抽屜。
強化密碼安全性的方式
資安規範要求愈來愈嚴格,密碼強度更是資安檢測項目,加強密碼安全性,可預防駭客攻擊,也能提升網站整體信任度並減少網站漏洞,除了提升密碼強度,以下幾點,也建議大家可以定期實施:
▲強化密碼安全性的方式
(1)定期更新密碼
定期時間更新密碼,例如 : 超過90天未更新密碼,由系統發送通知給使用者帳戶,或在登入時,系統預設出現警示需更改密碼畫面。
▲系統發送通知提醒使用者變更密碼
- 會員更改密碼流程說明:會員更改密碼流程,可分為一般版及特殊版。
- 一般版:使用者更改完密碼,畫面會回「會員登入頁」,請使用者重新登入(以新密碼重新登入)。
- 特殊版:使用者更改完密碼,畫面不會回首頁,而是跳轉至使用者上一個畫面。
▲會員更改密碼流程 (一般版)
▲會員更改密碼流程 (特殊版)
(2) 使用強密碼
弱密碼容易被破解,例如 : 身分證號、電話、生日、手機號、寵物名、甚至使用自己的名字做為密碼,都是不安全的!必須強化密碼使用規則,若對強密碼設定有困難,也可參考NordPass密碼產生器,參考強密碼的組成結構,再改成自己可記憶的密碼!
▲不建議使用的密碼
▲強密碼範例
(3) 新舊密碼有差異
更改密碼時,確保新密碼與舊密碼或與相同帳號的密碼有明顯差異,避免駭客運用同組帳密,逐一破解登入其它網站平台。
※備註 : 駭客運用同組帳密資訊,破解登入其它網站平台,稱為「撞庫攻擊」。「撞庫攻擊」的詳細介紹,將在另篇文章作說明。
(4)多次登入錯誤鎖帳號
設定登入錯誤次數達限制時,將帳號鎖定,同時通報系統管理員,防止駭客暴力破解密碼。
小結
本篇文章說明密碼強度設定建議,及強化密碼安全性的方式。當然,並不是所有企業網站,都應設置高強度密碼,若企業網站屬形象型網站,則較不用設定強密碼;若為平台系統、報名系統、購物型網站,因網站資料含 : 報名者個人資料(電話/身分證)、信用卡的卡號資訊。因此,在密碼的設定,就相當建議使用”強密碼”,以保護網站資料的安全、防止資料外洩。