跳到主要內容區塊 :::
臉書分享 line分享 推特分享 微博分享 複製網址

資安防禦升級Follow me-加強密碼安全管理

        之前和大家分享到密碼安全性不足往往造成資安漏洞的重要因素,同時我們也分享加強密碼複雜度可以遵循政府組態基準(GCB)密碼原則來提升安全性,但密碼越複雜我們在記密碼的同時有做好密碼的保護嗎?別擔心以下就讓我們來分享ISO27001資訊安全管理上,針對一般同仁、系統管理員以及系統除了加強密碼複雜度之外,在密碼保護上還需要注意到的地方吧!


機構同仁提升密碼安全性該注意......


        機構同仁在提升密碼安全性主要工作就是保護好密碼資訊避免任何密碼遭洩的可能,像是首次拿到系統管理員提供的登入資料時應立即更換密碼避免帳號資訊傳輸時遭竊取,同時紀錄帳密資訊時也應該避免用書面紀錄在辦公桌面以及習慣用電腦自動登入功能,以上這些舉動都可能遭到有心人士利用進入系統竊取重要資料對資訊安全造成危害!假如今天真的不幸發生帳號資訊遭到破解時,同仁也應即時通報系統管理員並立即更改密碼,才能將資訊安全風險降到最低!


系統管理員權限控管該注意......


        系統管理員在系統管理上擁有最高權限可以控管系統內所有使用者的帳號權限,因此在管理上也需要更加嚴謹,在協助提供使用者帳號資訊時應以加密方式進行傳輸,同時也該提醒同仁於首次登入後變更密碼資訊,此外也應做好帳號的權限控管定期盤查系統註冊的帳號資訊,將沒再使用的帳號做註銷動作!當同仁忘記登入資訊時,應先確認對方身分後再協助變更登入資訊,避免駭客利用社交工程手法竊取系統登入資訊,同時也該將變更登入資訊、註冊及註銷帳號維護等動作做紀錄,以便於當發生資安事件時可以做盤查!


系統密碼安全性強化


        機構在購置系統除了系統功能需要符合需求的同時,也需要留意系統安全設置是否符合密碼安全性管理,像是前面有提到密碼設置需要有一定複雜度也要定期更換密碼,這些都可以在系統開發時做設定,當使用者在變更密碼時,可以透過系統來協助判斷密碼安全性是不是有符合政府組態基準(GCB)密碼原則,另外也要能夠設置密碼有效期限來提醒使用者定期做密碼變更功能!在系統安全性強化上還可以留意登入頁面的管理,像密碼欄位輸入不能直接以明碼顯示,同時當同一組帳號登入失敗太多次應限制該帳號不能再做登入,避免該帳號遭駭客暴力破解!

回到上方