iT邦幫忙

2025 iThome 鐵人賽

DAY 28
0
佛心分享-IT 人自學之術

每天一點點資安黑魔法系列 第 28

Day28 | 帳號安全與密碼管理政策

  • 分享至 

  • xImage
  •  

帳號與密碼是資訊安全的第一道防線。不論在企業環境還是作業系統中,帳號管理與密碼政策都是防止未授權存取的基礎措施。

本篇整理 iPAS 常考的帳號安全機制、密碼強度要求、常見攻擊類型與防禦對策!


一、帳號管理基本原則

原則 說明
最小權限原則(Least Privilege) 使用者僅被賦予執行工作所需最低權限
帳號分離 管理者應有兩個帳號(一般帳號 + 管理帳號)
帳號定期檢查 定期停用或刪除不再使用的帳號
實名帳號制度 每個帳號應對應實際使用者,避免共享帳號
登入紀錄與稽核 紀錄登入行為,以利追蹤可疑活動

二、密碼管理政策重點

項目 建議設定
密碼長度 至少 8~12 字元以上
密碼複雜度 應包含大小寫字母、數字與特殊符號
密碼到期日 建議 60~90 天內需更換
密碼歷史記錄 不得與最近 3~5 次密碼相同
登入失敗鎖定 限定次數後鎖定帳號(如 5 次)
雜湊儲存 使用 SHA-256、bcrypt 等演算法儲存密碼

📌 延伸:企業應避免使用「明文密碼」儲存帳號資訊,並採雜湊與加鹽(salting)技術保障安全。


三、常見帳密攻擊手法與防範

攻擊手法 說明 防禦方法
暴力破解(Brute-force) 嘗試大量密碼組合進行登入 帳號鎖定策略、CAPTCHA
字典攻擊(Dictionary attack) 嘗試常見密碼清單 強密碼政策
鍵盤側錄(Keylogger) 記錄使用者輸入的密碼 安裝防毒軟體、定期掃毒
社交工程 誘騙使用者洩漏帳號密碼 使用者教育與資安訓練
密碼重用 多個系統使用相同密碼 強制密碼獨立性與 MFA
彩虹表攻擊(Rainbow Table) 使用雜湊對應表解密密碼 使用加鹽雜湊(salting + hashing)

四、Linux 與 Windows 帳號政策範例

📌 Linux 密碼與帳號設定檔

設定 檔案位置
密碼雜湊儲存 /etc/shadow
使用者帳號 /etc/passwd
密碼策略 /etc/login.defs/etc/security/pwquality.conf
密碼更換指令 passwd
密碼鎖定 passwd -l 使用者名稱

Windows 密碼政策設定(可透過群組原則)

  • 「本機安全性政策」→「帳戶原則」→「密碼原則」
  • 常見設定項目:
    • 密碼長度最小值
    • 密碼複雜性需求
    • 密碼最短使用期限/最長使用期限
    • 密碼歷程保留次數

上一篇
Day27 | iPAS 常考 Linux 指令與資安應用技巧
下一篇
Day 29 | 社交工程攻擊與防範技巧
系列文
每天一點點資安黑魔法30
圖片
  熱門推薦
圖片
{{ item.channelVendor }} | {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言