政院最新一期資安月報報導,依機關的電郵帳號密碼外洩,原因是其字母排列,竟等同於鍵盤順序。翻攝Logitech羅技官網
根據政院最新一期資安月報,某機關4月被發現電子郵件帳號密碼外洩,經調查後發現,外洩帳號的密碼多採用鍵盤位置排序,如1qaz@WSX,雖然符合設置密碼的長度及複雜度要求,仍遭駭客破解。
最新一期資安月報指出,蒐整今年4月政府機關的資安聯防情資共6萬9964件,比例最高為外對內連線大量阻擋事件及外部主機執行掃描探測攻擊達62%;其次是網頁攻擊行為及國外IP攻擊行為的入侵攻擊類,占16%;另外,帳號持續登入失敗的政策規則類也占15%。
另外,月報也分享4月資安事件,某機關電子郵件帳號密碼外洩,經調查後發現,外洩帳號的密碼多採用鍵盤位置排序,如1qaz@WSX,雖然符合長度及複雜度要求,仍易遭駭客暴力破解。
月報說,後續已請使用者修改外洩帳號的密碼,並加強內部宣導,避免採用鍵盤排序設定密碼,或者是常見字符轉換的字母,例如P@ssw0rd。
月報指出,政府機關規定使用者密碼設定須符合複雜度原則,駭客常採用密碼暴力破解,機關應加強宣導,避免採用鍵盤排序設定密碼或常見字符轉換的字母,降低密碼遭破解的風險。
密碼問題屢次成為資安重點,根據資安月報整理,去年政府機關多次發生因使用身分證字號、生日、電話,抑或是123456等簡單規則的弱密碼,導致資通系統遭破解、機敏資訊外洩,要求各機關資通系統應禁止使用弱密碼,並依循GCB密碼原則。
GCB指的是政府組態基準(Government Configuration Baseline),目的在於規範資通訊設備,如個人電腦、伺服器主機及網通設備等的一致性安全設定,包含密碼長度、更新期限等,藉以降低駭客入侵,進而引發資安事件的風險。(中央社)
