帳號與密碼是資訊安全的第一道防線。不論在企業環境還是作業系統中,帳號管理與密碼政策都是防止未授權存取的基礎措施。
本篇整理 iPAS 常考的帳號安全機制、密碼強度要求、常見攻擊類型與防禦對策!
| 原則 | 說明 |
|---|---|
| 最小權限原則(Least Privilege) | 使用者僅被賦予執行工作所需最低權限 |
| 帳號分離 | 管理者應有兩個帳號(一般帳號 + 管理帳號) |
| 帳號定期檢查 | 定期停用或刪除不再使用的帳號 |
| 實名帳號制度 | 每個帳號應對應實際使用者,避免共享帳號 |
| 登入紀錄與稽核 | 紀錄登入行為,以利追蹤可疑活動 |
| 項目 | 建議設定 |
|---|---|
| 密碼長度 | 至少 8~12 字元以上 |
| 密碼複雜度 | 應包含大小寫字母、數字與特殊符號 |
| 密碼到期日 | 建議 60~90 天內需更換 |
| 密碼歷史記錄 | 不得與最近 3~5 次密碼相同 |
| 登入失敗鎖定 | 限定次數後鎖定帳號(如 5 次) |
| 雜湊儲存 | 使用 SHA-256、bcrypt 等演算法儲存密碼 |
📌 延伸:企業應避免使用「明文密碼」儲存帳號資訊,並採雜湊與加鹽(salting)技術保障安全。
| 攻擊手法 | 說明 | 防禦方法 |
|---|---|---|
| 暴力破解(Brute-force) | 嘗試大量密碼組合進行登入 | 帳號鎖定策略、CAPTCHA |
| 字典攻擊(Dictionary attack) | 嘗試常見密碼清單 | 強密碼政策 |
| 鍵盤側錄(Keylogger) | 記錄使用者輸入的密碼 | 安裝防毒軟體、定期掃毒 |
| 社交工程 | 誘騙使用者洩漏帳號密碼 | 使用者教育與資安訓練 |
| 密碼重用 | 多個系統使用相同密碼 | 強制密碼獨立性與 MFA |
| 彩虹表攻擊(Rainbow Table) | 使用雜湊對應表解密密碼 | 使用加鹽雜湊(salting + hashing) |
| 設定 | 檔案位置 |
|---|---|
| 密碼雜湊儲存 | /etc/shadow |
| 使用者帳號 | /etc/passwd |
| 密碼策略 | /etc/login.defs、/etc/security/pwquality.conf |
| 密碼更換指令 | passwd |
| 密碼鎖定 | passwd -l 使用者名稱 |
iThome鐵人賽
看影片追技術