公務帳號遭入侵 資安院：避免使用弱密碼

國家資通安全研究院最新資安週報提到，有機關公務相關帳號遭異常登入、使用或新增，疑似因為使用具規則性的「弱密碼」遭破解所致。資安院提醒，包括鍵盤順序、常見模式，或常見詞彙字符轉換等，均屬有規則性的弱密碼，易被攻擊者快速猜測破解。

資安院表示，雖然某些密碼表面上符合系統規定的長度與複雜度，但若屬於有規則性的弱密碼，例如鍵盤順序、常見模式或常見詞彙的字符轉換，如：qazwsx、p@ssw0rd，仍存有潛在風險，容易被攻擊者透過字典檔或自動化工具快速猜測破解。

資安院建議，要加強對弱密碼偵測，除了長度與複雜度外，應將常見密碼設定模式納入黑名單，並導入多因子認證（MFA）降低密碼外洩風險，同時強化異常登入監控，偵測大量嘗試或異地登入時自動鎖定，或者要求額外驗證，並加強員工教育，讓使用者了解鍵盤順序或簡單替換仍屬弱密碼，應避免使用，以全面提升資安防護。◇