企业密码管理不当致数十万客户信息泄露，专家建议采用MFA机制

企业密码管理不当致数十万客户信息泄露，专家建议采用MFA机制

台湾某知名科技公司曾因密码管理不当，造成大规模的个资外泄事件，影响数十万名客户，不仅深深打击企业声誉，更可能因违反资安法、个资法，招致法律责任及财务损失。

屡见不鲜的密码外泄事件，始终使企业面临巨大的资安风险，因此，无论是企业或个人，若想要保护机敏信息及公司、个人财产，必须体认到账号及密码并非只是登入系统、App的重要信息，如何进行完善的账号密码管理，已成为必须认真面对的重要课题。

一般如何管理账号密码？常见5方法介绍

每个人管理账号密码的方法皆不相同，并非每种方式都能有效保障安全性，往往伴随着不同的风险及缺点，提醒企业与员工在管理公司或自己的账号密码时，必须同时考量其可能带来的资安隐患。

方法1：手动记录密码

最传统的方式是手写密码在笔记本或备忘录上，便于随时查阅，但容易因丢失或被人翻阅而泄漏。

方法2：浏览器密码管理器

许多浏览器内建密码管理服务，帮助储存并可在登录时自动填入密码，但可能会有浏览器被入侵或被黑客拦截资料的风险。

方法3：使用单一密码

使用者使用相同的密码是为了容易记住，但最大的风险在于只要其中一个账户被攻击，其他使用相同密码的账户也将受到威胁。

方法4：简单变形密码

将生日、电话号码等易于记忆的信息稍作变形后用作密码，虽然看似增加了变化，但黑客可利用既有规则猜测或暴力破解。

方法5：外挂密码管理工具

使用如1Password、LastPass等第三方密码管理工具，协助产生、储存高强度密码，但应审慎挑选可信任的服务提供者。

这些账密管理方法的缺点

以上方法为了便捷而牺牲了安全性，虽然可以一定程度上简化密码管理，但大多数都有资安漏洞，一旦某个环节被黑客突破，便可能造成全盘皆输的情况。因此，仅靠基本的账号管理已不足以应对现今攻击手法多变的资安威胁。

账号密码容易外泄的原因通常是？

从黑客攻击到内部员工的不当操作，都可能成为账号密码外泄的风险来源，企业与员工应了解账号密码外泄的各种情境，有助于提前采取防范措施。

弱密码

使用简单或常见的密码，或在多个网站重复使用同一密码，会大幅增加黑客暴力破解的成功机率。

共用账号

某些中小企业、初创公司或部门团队成员会共用一组账号及密码，将增加密码泄露的风险。

缺乏密码变更政策

许多企业没有定期更改密码的规定，导致同一组密码长期不变，让黑客有更多机会成功破解。

资料泄漏

当企业的数据库遭黑客入侵时，如果没有执行强劲的保护措施，可能会被盗取账号密码。

钓鱼攻击

黑客会通过假冒合法网站的电子邮件或链接，诱使人們受騙上當，提供账号、密码给有心人士。

键盘侧录

黑客通过散布恶意软件，用键盘侧录功能记录人们在键盘上输入的信息，以窃取账号和密码。

第三方管理工具的漏洞

如果密码管理工具的加密或服务器安全性不足，也可能被黑客利用漏洞，窃取储存的账号资料。

收到［您的密码遭泄露］的通知该怎麼办？

浏览器或相关安全应用程式通常会比对外泄资料库，当密码与已知的外泄密码一致时，就会收到「您的密码遭泄露」的通知，但这并不一定代表黑客已经窃取了账号密码，而是一个存在高度风险的警示。

即便账号本身未遭入侵，这个警告也表示使用的密码可能属于弱密码，或是曾在其他系统泄露过，故应立即采取相应措施以保护账号安全，避免更进一步的资安威胁。

检查是否有异常活动记录

检视账户的活动记录，确保没有异常登录或未经授权的操作。

更改受影响的密码

更改密码时应避免使用与旧密码相似的组合，要改用完全不同的密码。

检查其他账号

如果在不同系统、网站使用相同密码，应立即检查并更改密码。

启用多因子认证（MFA）

启用多因子认证增加多层次保护机制，使黑客无法轻易盗取账户。

定期监控账户活动

开启账户异常活动通知，以便突发事件时可及时采取进一步的应变措施。

安全的账号、密码管理重点

有效的账号密码管理不仅在个人层面上需要重视，更应该从企业角度出发，设立明确的政策与规范，强化账号管理策略，加上选择合适的资安产品，都是完善企业资安的关键。

使用强密码

密码长度应至少达到12个字符，并包含大写字母、小写字母、数字及特殊符号，以增加密码的强度。

避免重复使用密码

确保每个账号使用不同的密码，以降低资料泄露带来的风险。

定期更换密码

制定企业内部政策，要求每三至六个月更新一次密码，并避免新密码与旧密码过于相似。

账号锁定机制

当密码输入错误次数超过设定值后，系统应自动锁定账号，并强制重置密码。

使用密码管理工具

企业可以考虑使用加密强度高，且支持 MFA 的密码管理工具，辅助管理系统账号及密码。

系统导入 MFA 机制

除了密码之外，企业应为系统导入生物识别、硬件安全密钥或手机OTP验证码等 MFA 登录机制，多层次守卫账号安全。

在现代网络环境下，黑客攻击手法不断进化，仅依赖简单的密码保护已不足以抵挡各种风险，企业中人人都要提升资安意识，将账号密码管理视为不可忽视的资安基础责任。

而为了避免密码外泄所造成的无妄之灾，建议企业导入专业的 MFA、账号管理解决方案或密码管理工具，强化账号管理与密码管理机制，能够有效降低被黑客攻击的风险及带来的损失，保护企业资产与商誉。

您的账号安全吗？如何完善企业账密管理？