現代數位身分驗證指南—從單一密碼走向多層次防護
發佈日期 :
2026-03-23
發佈者 :
資訊組長
現代的標準:在「安全」與「便利」間取得平衡
15碼密碼政策在理論上確實能讓駭客花上百年才能破解,但如何在安全性與使用者體驗之間取得平衡,考驗著企業的智慧。NIST的指南提供了更全面的思考方向:密碼長度只是其中一環,打造零信任架構,才能讓企業資安有完整的防護。--羅弘旭(2025)。密碼越長越安全?NIST打臉這個迷思:真正的資安在這些規則。Business Insider Taiwan。
增加密碼長度能夠低成本且立即有效的提升安全性,不過,那是以犧牲使用者便利性為代價。面對日益進化的網路攻擊與電腦算力,單靠高強度密碼已不足以提供全面防護。因此,NIST SP 800-63B 指南提出了更聰明的做法:
NIST 2025 數位身份驗證指南 (SP 800-63B) 核心摘要
-
密碼的長度比複雜度更重要:
- 使用密碼短語 (Passphrases): 建議用 4 個以上的隨機詞彙串連。
- 最大化相容性: 系統應支援至少 64 字元,並允許使用空格、Emoji 與所有 Unicode 字元。
- 廢除過時限制: 由使用者自行決定是否加入大、小寫字母或特殊符號,不強制要求。
-
友善且安全的規範:
- 取消定期換密碼: 不要強制使用者定期變更密碼,除非密碼已知被竊取。
- 動態更新黑名單: 針對已知的弱密碼(如常用字詞、被洩漏過的密碼)系統建立黑名單禁用。
- 廢除安全提示: 不要用「寵物名字、母親姓氏」等「問題提示」的方式幫助使用者回想密碼。
- 伺服器加密儲存: 伺服器嚴禁儲存原始密碼,必須經過加鹽雜湊 (Salted Hash) 處理。
-
多因子驗證 (MFA):
對於中高安全等級需求(AAL2)的系統,單靠密碼已不足夠,應結合以下兩種以上因子:- 你所知道的: 密碼、圖形鎖。
- 你所擁有的: 手機驗證碼 (OTP)、硬體金鑰。
- 你是誰: 指紋、面部辨識等生物特徵。
-
導入抗釣魚技術 (無密碼化):
對於最高安全等級需求(AAL3)的系統,導入抗釣魚驗證機制(如FIDO2 / Passkeys)。 使用者無需記憶任何密碼,能徹底防止釣魚網站欺騙。
NIST 指南正引領一場資安思維的轉向: 將防護重心從「逼使用者記住複雜密碼」,轉移至由驗證系統承擔更多責任的「多層次智慧防護」。 這正是 MFA 普及的關鍵——透過彈性多元的驗證方式在後端築起防禦。 就像為家門換上智慧鎖,除了密碼,還能搭配指紋或手機 App 快速確認。 畢竟系統的使用者終究是「人」,唯有「以人為本」將便利與防禦深度整合,才是數位安全長久運行的關鍵。
參考資料
- 密碼越長越安全?NIST:真正的資安在這些規則 (Business Insider Taiwan,2025)
https://www.businessinsider.tw/article/415 - NIST Special Publication 800-63B-4 Authentication & Authenticator Managemen (NIST,2025)
https://pages.nist.gov/800-63-4/sp800-63b.html#appA - NIST Special Publication 800-63. Appendix A (NIST,2023)
https://pages.nist.gov/800-63-3/sp800-63a.html - 也談資安:密碼迷思與出路 (臺灣大學計算機及資訊網路中心電子報, 2018)
https://www.cc.ntu.edu.tw/chinese/epaper/0046/20180920_4610.html
瀏覽數:
