識別與鑑別(Identification & Authentication)識別代表的是使用者為何,鑑別則為確認目前的使用者為他所宣稱的使用者,即可以對應到常見的帳號(識別)、密碼(鑑別)的登入機制;目前也有許多不採用密碼進行鑑別的登入方式,例如生物特徵辨識、OTP、第二裝置驗證等。
資通系統應具備唯一識別及鑑別機關使用者(或代表機關使用者行為之程序)之功能,禁止使用共用帳號。
內容
系統應有身份驗證機制,所有內部可能使用到系統的人員都應該有自己專屬的帳號,不應該共用帳號。
實務作法
身份驗證機制最簡單的就是帳號密碼,較重要的系統亦可以使用實名的憑證(例如自然人憑證、金融卡等晶片卡)進行身份鑑別。
對資通系統之存取採取多重認證技術。
內容
即需要採用多因子認證(Multi-Factor Authentication,MFA)方式進行身份驗證,需要注意的是 MFA 需有多種身份驗證因子,而非只是採用兩階段驗證即可。
實務作法
身份驗證因子可使用以下驗證方式,MFA 僅需滿足其二即可:
使用預設密碼登入系統時,應於登入後要求立即變更。
內容
使用者於帳號建立或密碼重設後初次登入時,系統應要求立即變更密碼,變更密碼後才能讓使用者使用系統各項功能。
身分驗證相關資訊不以明文傳輸。
內容
身份驗證的相關資訊應採用加密方式傳輸,以免被攔截導致身份驗證資訊洩漏。
實務作法
使用加密通道傳輸身份驗證相關資訊,例如 HTTPS、VPN、SSH。
具備帳戶鎖定機制,帳號登入進行身分驗證失敗達五次後,至少十五分鐘內不允許該帳號繼續嘗試登入或使用機關自建之失敗驗證機制。
內容
為避免被機器人採用暴力攻擊方式取得系統權限,至少應於登入失敗五次後,禁止該帳號 15 分鐘內再次進行登入常識。
實務作法
機關亦可自訂失敗處理機制,例如登入超過三次後,永久鎖定帳號,需由系統管理者人工解鎖。
使用密碼進行驗證時,應強制最低密碼複雜度;強制密碼最短及最長之效期限制。
內容
需依照資安政策訂定密碼複雜度、最短與最長效期。
密碼最短效期是為了避免使用者頻繁變更密碼,以規避不能使用近期使用過的密碼限制。
最長效期則是為了避免長期使用同一個密碼,而增加被破解的風險。
實務作法
密碼複雜度部分,可訂定密碼長度、組成字元種類等要求。
密碼最長效期以不超過六個月為原則。
密碼變更時,至少不可以與前三次使用過之密碼相同。
密碼複雜度、使用期限、不可使用最近使用過密碼限制,針對非內部使用者,可依照機關規範自行訂定。
身分驗證機制應防範自動化程式之登入或密碼更換嘗試。
內容
需要防範 Bot 自動登入或是暴力密碼破解。
實務作法
可採用圖形驗證碼(CAPTCHA)或其他方式(例如 reCAPTCHA)等方式防範,但許多系統會將驗證的答案放置在前端中,導致 Bot 仍然可以自動獲得密碼填入。
密碼重設機制對使用者重新身分確認後,發送一次性及具有時效性符記。
內容
使用者要求重設密碼時,系統應發送有時效性一次性密碼,以供驗證使用者身份。
實務作法
常使用發送驗證碼到使用者的 Email、手機簡訊等,並且該驗證碼會在一定時間內過期。
資通系統應遮蔽鑑別過程中之資訊。
實務作法
將密碼、身份證字號的個人資訊以 * 或其他符號遮蔽。
資通系統如以密碼進行鑑別時,該密碼應加密或經雜湊處理後儲存。
內容
密碼不應該明碼儲存,必須經過加密或 Hash 後再儲存。
資通系統應識別及鑑別非機關使用者(或代表機關使用者行為之程序)。
內容
系統非公開頁面應有身份驗證機制,以分別機關內外使用者。