文章

密碼原則

密碼原則是一套用於落實的規範,目的在於避免因登入憑證薄弱或登入流程不當,導致系統與應用程式遭到未經授權的存取。作為組織整體資安態勢的關鍵一環,健全的密碼原則是有效存取控制不可或缺的基礎。密碼原則也會規範密碼的建立與使用方式,藉由降低密碼遭誤用或竊取的風險,全面最佳化防護成效。

NIST 密碼原則指引

使用者密碼原則準則

  • 應向使用者清楚呈現密碼原則,並允許其自行建立密碼。
  • 使用者建立的密碼長度至少須為 8 個字元,最長可達 64 個字元。
  • 密碼應允許使用所有可列印的 ASCII(RFC 20)字元與空白鍵,以及 Unicode(ISO/ISC 10646)字元;每個 code point 以 1 個字元計算。
  • 密碼原則不應再對使用者的密碼選擇施加其他限制(亦即不應額外要求複雜度);例如,不應要求必須混用不同字元類型,或禁止連續重複字元。
  • 除非有證據顯示密碼已遭洩露,否則不應要求使用者變更密碼。

密碼原則與黑名單

在確認使用者所選擇的密碼(新設或更新)之前,應先與「可猜測值」清單比對,因為這些密碼往往是可預期、常見,或已知曾遭洩露。可猜測密碼的例子包括:來自過往外洩資料庫的密碼、字典單字、重複或連續字元(例如 aaaaaa、1234abcd),以及情境相關字詞(例如服務名稱、使用者名稱及其衍生變形)。

若使用者設定的密碼因未符合指定條件,或被列入已外洩密碼黑名單而遭拒絕,系統應要求使用者改選其他密碼。此時,應明確告知使用者密碼遭拒的原因。

剪下/貼上與顯示功能的密碼原則

應允許使用者透過剪下與貼上功能在表單中輸入密碼。此外,使用者輸入密碼時,應提供顯示密碼的選項,以便確認輸入內容正確無誤。

登入失敗嘗試的密碼原則

應實作速率限制機制,限制單一使用者帳號可進行的登入失敗嘗試次數,以防範線上猜測攻擊。依據 NIST 800-63B 第 5.2.2 節,嘗試次數不得超過 100 次。

密碼防護原則

傳輸所要求的密碼時,應採用加密與身分驗證解決方案,確保傳輸過程安全。此外,密碼應使用合適的單向金鑰衍生函數進行加鹽與雜湊處理。鹽值應符合以下條件:

  • 由隨機位元產生器建立
  • 長度至少 32 位元
  • 任意選取

雜湊運算量應在驗證伺服器效能可負荷的範圍內盡可能提高;通常至少 10,000 次迭代。

隨機產生密碼原則

若密碼由應用程式或系統隨機產生,最少僅需 6 個字元。

密碼品質原則

應使用密碼強度指標向使用者呈現其擬定密碼的品質。此舉可促進強密碼的建立,並避免使用者針對遭拒的密碼僅做些微修改,使其勉強通過卻仍屬低品質。

密碼建議原則

在任何情況下,都不得允許使用者儲存「除本人之外任何人都可能存取」的密碼提示。同時,不得以提示問題作為線索;例如,不可要求使用者設定用於提示的安全性問題與答案,如第一隻寵物的名字、第一台車的型號,或母親的婚前姓氏。

NIST SP800-63B 密碼原則指南重點摘要

— 允許密碼使用 ASCII 字元、Unicode 字元與空白。
— 不強制要求複雜度規則或密碼到期更換週期。
— 密碼輸入時,支援複製/貼上。
— 導入並落實多因子驗證(MFA)。
— 限制單一帳號連續身分驗證失敗次數(NIST 建議上限為 100,但多數專家認為應控制在個位數)。
— 密碼最短長度不得少於 8 個字元。
— 提供密碼強度量表。
— 密碼必須加鹽並雜湊。
— 將所有候選密碼與已知常見、可預期或已外洩的值清單比對,例如下列類型的密碼:
— 含有字典中出現的詞彙。
— 取自過往外洩資料集。
— 含有重複或連續字元(例如:aaaaaa、1234abcd)。
— 使用具情境指涉的字詞(例如:服務名稱、使用者名稱及其衍生形式)。
— 以可抵禦離線攻擊的形式儲存密碼(例如:加密)。

其他密碼安全標準與指引

以下為密碼原則相關標準與指引範例。

網際網路安全中心 (CIS , Center for internet security)

《CIS Password Policy Guide》的目標,是建立一套單一且完整的密碼原則,凡是需要密碼原則的場景皆可作為標準依循。CIS 密碼原則的重點指引包括:

  • 允許密碼使用所有字元類型;僅使用密碼登入的帳號,密碼須至少包含 1 個非字母字元。
  • 使用密碼管理器時,允許在密碼欄位貼上。
  • 45 天內未出現有效登入的帳號,應自動暫停。
  • 一旦發生外洩事件,應立即變更密碼。
  • 建立新密碼時,需比對內部拒用清單(至少 20 組已知不良或弱密碼)與前 5 次使用過的密碼。
  • 登入時不允許使用者自訂密碼提示。
  • 密碼到期日最長為 1 年。
  • 連續 5 次登入失敗後,應啟用至少 15 分鐘的臨時鎖定機制。
  • 閒置 15 分鐘後,鎖定已開啟的工作階段。
  • 上述不良登入嘗試達到上限時,應警示關鍵人員。

刑事司法資訊服務(CJIS , Criminal Justice Information Services)

CJIS 是 FBI 規模最大的部門,提供各類工具與服務……CJIS 所提出的密碼原則指引,與 NIST 800-63B 高度一致。此外,CJIS 也針對密碼原則提出多項補充建議,包括:

  • 生物辨識僅應作為多因子驗證的一環,且需搭配實體驗證器。
  • 首次使用前,先變更預設密碼。
  • 建立初始密碼建立的管理程序……
  • 密碼到期後,應可再次使用。
  • 導入具抗重放(replay-resistant)能力的身分驗證機制……
  • 若懷疑密碼遺失或遭竊,應立即通知使用者。
  • 至少每 12 小時重新驗證使用者一次……
  • 每年更新密碼;或在有遭入侵跡象時更新。

健康保險流通與責任法案(HIPAA)

HIPAA Security Rule 訂有全國性標準……HIPAA 的密碼要求隸屬於 HIPAA Security Rule 的「行政防護措施」,包括:

  • 建立密碼建立與變更的週期性指引。
  • 導入密碼建立、變更與保護的作業程序。
  • 訓練勞動人力採取措施,保護密碼資訊。

International Organization for Standardization/International Electrotechnical Commission 27002

ISO/IEC 27002 是一項資訊安全標準……其中包含密碼原則指引,用於防止系統與應用程式遭到未經授權的存取,包括:

  • 系統或軟體安裝完成後,立即變更廠商提供的預設密碼。
  • 建立高品質密碼,並設定足夠的最小長度……
  • 業務與非業務用途,不得共用相同的機密身分驗證資訊。
  • 確保密碼在儲存時受到妥善保護。
  • 禁止使用連續相同字元、純數字或純英文字母的字元組合。
  • 以受保護形式儲存與傳輸密碼。
  • 採用互動式密碼管理系統……
  • 密碼檔案與應用系統資料分開儲存。
  • 容易記憶。
  • 不得以他人可輕易猜到的內容作為基礎……
  • 不得易受字典攻擊
  • 允許使用者選擇並變更密碼。
  • 輸入密碼時,螢幕不得顯示密碼內容。
  • 強制採用個別使用者識別碼(ID)與密碼。<
  • 使用者首次登入時,必須強制變更密碼。
  • 保留使用者歷史密碼紀錄,並禁止重複使用。
  • 定期提示使用者變更密碼。
  • 要求使用高品質密碼。

北美電力可靠度委員會(NERC)關鍵基礎結構防護(CIP)

NERC CIP 制定標準,明確規範大電網系統的最低安全要求;同時也對電力系統營運人員提出密碼原則要求,包括:

  • 變更已知的預設密碼。
  • 強制至少每 15 個曆月更換一次密碼。
  • 限制驗證失敗嘗試次數。
  • 密碼長度至少 8 個字元,且須包含 3 種以上不同字元類型。

支付卡產業資料安全標準(Payment Card Industry Data Security Standard,簡稱 PCI DSS)

PCI DSS 納入保護敏感資訊與維護隱私的相關要求;其中也提供密碼原則指引,包括:

  • 務必更換廠商預設密碼。
  • 禁止在指令碼中硬編碼密碼。
  • 禁止使用者設定與最近 4 次任一密碼相同的新密碼。
  • 使用者閒置超過 15 分鐘後,強制重新輸入密碼。
  • 重複存取嘗試次數須受限:最多 6 次失敗後即鎖定該使用者 ID。
  • 至少每 90 天提示使用者變更密碼一次。
  • 密碼最短長度須達 12 個字元。
  • 建立密碼時提供密碼強度指標。
  • 在可行範圍內一律採用多因子驗證。
  • 僅使用密碼的帳戶,密碼最短長度須達 14 個字元。

密碼原則的組成要素

以下列出密碼原則中建議納入的幾項關鍵要素。

  • 禁止共享密碼
  • 可接受密碼的判準(例如:長度、複雜度、排除項)
  • 限制密碼重複使用
  • 允許的登入失敗次數,以及鎖定帳戶的相關處置流程
  • 可接受的密碼強度參數
  • 密碼儲存指引與要求
  • 密碼變更流程
  • 多因子驗證(MFA)要求
  • 密碼到期與重設規則

企業密碼原則最佳實務

以下為制定密碼原則時的核心最佳實務。

落實密碼原則

運用自動化系統落實密碼原則,並進行不定期抽查稽核,確認使用者遵循無法自動化的規範。

維持密碼原則與時俱進

組織應定期檢視並更新密碼原則,確保持續符合最新最佳實務,並採用當下可用的最適技術。

強制採用高強度密碼與使用規範

為防止未授權使用者猜中密碼,請依循以下準則。

  • 一旦發生疑似入侵或外洩,立即變更密碼。
  • 將使用者擬定的密碼與「常見、可預測或已外洩」密碼清單比對檢核。
  • 明確要求使用者不得分享密碼。
  • 對已儲存的密碼進行加密。
  • 若採用通關片語(passphrase),必須由 3 個以上的字典單字組成。
  • 導入多因子驗證(MFA)。
  • 密碼必須符合:
  • 不得重複使用。
  • 至少 8 碼英數字元。
  • 至少包含 1 個大寫英文字母與 1 個小寫英文字母。
  • 至少包含 2 個非字母字元,且至少包含 3 個字母字元。
  • 不得包含容易被猜到或取得的個人資訊。

採用滲透測試

採取主動式資安策略,運用白帽駭客對系統進行探測並測試使用者,以檢視密碼原則遵循情況,並找出其他安全缺口。

密碼原則常見問題

以下為與密碼原則相關的常見問題。

一旦發生密碼問題,企業將面臨哪些風險與影響?

未遵循密碼原則,往往會衍生多項問題。其中最嚴重的三項包括:

  2. 法遵未達標與罰則
  3. 未經授權的存取系統與其他資產

什麼是企業密碼原則?

企業密碼原則是依據最佳實務與標準,並結合內部在工作流程、資安與法遵上的特定需求所制定。

企業密碼原則應如何宣導與傳達?

所有會存取企業資產的使用者,都應清楚知悉並理解組織的密碼原則。建議透過多種管道傳達,包含納入以下項目的一部分:

  • 員工手冊
  • 到職訓練(Onboarding)
  • 資安訓練
  • 存取資產時的系統提示
  • 資安與 IT 團隊的更新通知與提醒

落實密碼原則,是網路防禦的第一道關鍵防線

只要導入並落實密碼原則的最佳實務與標準,就能有效阻斷常見且經常被利用的攻擊途徑。透過訓練與明確的使用規範,要求使用者遵循密碼原則及流程規則,可將弱點降至最低,進而保護敏感資產,避免未經授權的存取。

其他密碼安全標準與指引

以下列出密碼原則標準與指引的範例。

網際網路安全中心 (CIS , Center for internet security)

CIS Password Policy Guide 的目標,是提供一套單一且完整的密碼原則,作為任何需要制定密碼原則情境下的通用標準。CIS 密碼原則的重點指引包括:

  • 允許密碼使用所有字元類型;針對僅使用密碼的帳戶,至少要求 1 個非字母字元。
  • 使用密碼管理工具時,允許在密碼欄位貼上。
  • 帳戶若在 45 天內沒有有效登入,應自動停用。
  • 一旦發生外洩事件,立即變更密碼。
  • 建立新密碼時,需與內部拒絕清單比對(至少 20 組已知不良或弱密碼),並比對前 5 次使用過的密碼。
  • 登入時不得提供使用者自訂的密碼提示。
  • 強制密碼於 1 年後到期。
  • 連續 5 次登入失敗後,實施至少 15 分鐘的暫時性帳戶鎖定……
  • 閒置超過 15 分鐘,鎖定已開啟的工作階段。
  • 上述不良登入嘗試達到上限時,通知關鍵人員。
日期: 2026年5月14日閱讀時間:4 分鐘
法規遵循網路安全

立即開始

瞭解 SailPoint 身分安全能為貴組織帶來哪些改變

要在不影響生產力或創新能力的前提下保障資源存取安全,可謂一大挑戰,瞭解我們的解決方案如何支援當今現代企業因應這項挑戰。

申請產品示範聯絡我們