前兩天學校的人事系統又要求要更新密碼了,不是只有人事的
公務員進修時數跟 "我的e政府" 這些台灣政府網站也都會有這種變更密碼的要求
但這個密碼更新不是普通的麻煩,只能使用大寫小寫數字符號必須有其中3種,符號只能選~ !@# $這5個
如果你很聰明的想說「那我就上次的密碼第1個字小寫改大寫就好了」抱歉不行
會跳視窗出來說「本次密碼與上次重複太多,請換一個」
好吧,那我有一個常用好記的密碼換這個好了,抱歉很有可能會遇到「這個密碼已經太多人使用,請換一個」
其實最正確的解法是,使用瀏覽器的「建議高強度密碼」,然後設定完瀏覽器提示儲存密碼就存起來這樣只要google帳號登進去,瀏覽器就會自動幫你填入密碼
但這樣其實有一個矛盾點,為什麼政府學校的網站要你定時變更密碼,google微軟蘋果這些帳號就沒有這樣要求你要換密碼咧?
難道說google微軟跟蘋果他們比我們政府來的不重視資安嗎?當然不是
這一份是2016美國中央標準局出的數位身分認證指南,底下的很多觀念都與台灣 "現行" 的資安觀念相反
例如密碼設定時除了遮字也必須能顯示,因為使用者有可能會打錯字記錯字變成密碼記憶與輸入不一致
不要要求手動輸入太長或太複雜的密碼,因為人們會記不起來,就把它寫在便條或存在電腦裡,這樣的密碼沒有意義
不要要求使用者輸入除了認證外額外的個資,例如家屬固定電話住址之類的,減少資料外洩時造成的傷害
不要要求使用者要定期變更密碼,因為這種要求會導致使用者偏向於使用較簡單容易記憶的密碼,或者忘記密碼
而不是像台灣一堆政府學校網站,密碼登錄網頁底下有寫客服電話,密碼輸入失敗?打客服就幫你重設啦,你再從頭來啊蛤 (笑
只要打電話給客服就密碼重設,然後客服會跟你要身分證字號,這不是回了一圈結論還是帳號密碼只要有身分證字號就夠了?
現在幾乎全部網站的帳號密碼登錄都有多久時間內登入幾次失敗,就會被禁止登入
所以幾乎是沒有駭客從網站正門去試圖去"猜"你的密碼到底是多少
而實際上你的帳號是有多少 【價值】 讓駭客去取得,這也是一個問題,一般人的臉書什麼的,還有可能說盜了帳號去騙別人
但是公務員學習or人事網站,就算被盜了帳號能幹什麼?查詢你的年資出生年月日?幫妳寫假單還是上線上學習嗎?