先釐清一個:
儲存密碼內容明碼 和 儲存變更密碼歷程 是兩件不同的事情.

儲存密碼內容明碼 (明碼是指將使用者敲入的字元原封不動的儲存起來) 這件事明顯違規, 因為只要被找到儲存的內容, 密碼就全都露. 上述被要求變更方法的各單位, 是因為「儲存明碼」而違規, 並非因為儲存「歷程」而違規.

但是「歷程」本身跟密碼內容無關, 就算有人知道某個人幾月幾號幾點改過密碼, 他仍然無法得知或是推算密碼內容, 因此不論儲存多少次歷程, 都不見得會產生資安風險.

另外附帶說一個: 就算儲存密碼的明碼, 也跟個資無關. 個資定義如下:

定義如下： 一、個人資料：指自然人之姓名、出生年月日、國民身分證統一編號、 護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、 基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會 活動及其他得以直接或間接方式識別該個人之資料。

以上不包含密碼....密碼應該算是「授權資訊」, 不是個資

好, 接下來討論: 到底需不需要定期變更密碼?

最近確實有研究聲音說: 定期變更密碼無法降低密碼被破解的風險.

我個人認為, 上述的研究結果, 僅侷限在: 使用暴力破解法 (Brute Force) 這一種方式而已. 因為對暴力破解來說, 不論密碼怎麼變, 他破解的機率變化並不大, 所以你換來換去, 只要時間夠長, 仍然破得開.

但是破解並不僅限於技術上, 很多場合都是用「社交工程」的方式取得. 很多人慣用生日/手機/紀念日...等等易記的方式組合密碼, 這些就很容易被社交工程所取得.

我最近幫幾家有個資外洩的電商做資安防禦, 與檢調單位合作之後才驚覺: 原來現在詐欺集團已經進步到會用大數據來推算你的個資了. 他們可能受限於技術無法取得完整的個資, 但會去黑市蒐集各種不同來源的個資資訊, 然後把各種片段的資訊拼湊起來, 最後可以還原出正確的個資.

同樣的, 如果你的密碼是上述那些方式的話, 有心人可以利用各種片斷的資訊去拚湊, 再透過密集的猜測, 找到正確的密碼.

所以, 定期變更密碼是否有效?

嚴格說應該沒有甚麼效果. 因為如果你的密碼組合都跟人身資料相關, 或是字典組合的話, 怎麼換, 都很容易被猜出來. 但是, 如果你是那種: 會把密碼寫下來, 或是把密碼告訴別人的話, 換密碼可能有用.

你還要回頭幫稽核想一個問題:

是要稽核 你有沒有換過密碼 , 比較容易?
還是
稽核 你的密碼內容有沒有避開風險 , 比較容易?

後者幾乎不可能, 因為密碼既然不能告訴別人, 那叫稽核怎麼去看內容?
所以, 退而求其次, 改要求你經常更換密碼, 至少有做到一點點風控, 比完全不要求換密碼要減少一些風險......

標題所述行為已違法~

掌控所有人員變更密碼的歷程

以個人而言每改一次密碼代表被記錄起來,嚴重侵犯個人隱私!
市面上許多曾有這種要求的系統都已經修正(玉山,摩根,PChome...)!
個人見解:

1. 密碼不宜強迫變更(新改的密碼也可能剛好快被猜到了...)
2. 密碼不宜紀錄並要求變更時不能重複(用戶的常用密碼或密碼組合習慣反而有被竊取的風險)
3. 密碼不宜有太多制式規定(強迫要有兩個字母或英數組合等等...透過這些規定猜測法也已經排除了大部分不需要的猜法了!)
4. 密碼設定與判讀的輸入提供方式要一致,例如聯邦設置的地方允許輸入小寫,但登入的地方只能輸入大寫,所以很多人改完就GG了!ID的部分則是設置的地方只能大寫,登入的地方卻可輸入大小寫,不知道設置時被轉成大寫的人一直輸入小寫所以登不進去也是GG!
5. 偵測系統提供訊息或建議給用戶算是比較妥善的,大家應該有發現,特別是網銀,已經都改成有登入系統就發mail通知,這不就是良性的自我檢視cycle了嘛!反觀信用卡還有很多刷卡不提供即時通知的,若要通知需達消費門檻或付費,而會被盜刷的都是這種,資安何在呢?呵呵!

多的是例子啊...