2024年資通安全全專家提出建立新密碼時的一些建議，其中第7項-「除非必要，否則不要更改密碼」這條規則可能會與所認知中是背道而馳。人們正在尋找如何保護有關工作或生活相關資通訊安全等，免受網路攻擊的一些建議？

美國國家標準暨技術研究院(National Institute of Standards and Technology，NIST) 的專家建立一項簡單的網路安全基礎知識網站，該網站「數位身分指南」中的技術資訊歸結針對中小企業主和管理者一套清晰指南。

如需更簡單、更實用的指南，可瀏覽美國國土安全部（DHS）網絡安全和基礎設施安全局（Cybersecurity and Infrastructure Security Agency， CISA）「保護我們的世界」網站。它針對的是沒有技術背景的一般使用者，協助自己可以與朋友、家人等分享的可靠資訊來源，以協助應對常見威脅。

瀏覽上述相關文件，並列出有關密碼需要遵循的七個規則。

1.確保所有密碼具備一定強度

一般應具備12個字符（含大小寫字母、數字和符號的組合）。且為隨機、混合字典中找不到的大小寫字母、數字和符號，並且不包含姓名或解鎖設備和應用服務的名稱的任何部分。在所有上述因素中，專家們一致認為「長度」最重要。事實上，NIST的專家表示，近期對被破壞的密碼資料庫中分析，擁有更長的密碼比試圖使其變得複雜更加來的難已破解。

2.使用可靠的密碼管理器

一般人都有數十組密碼，一個常使用網路者更可能擁有數百個憑證。沒有人能夠記住隨機的、獨特的密碼。這就為什麼需要一個密碼管理器，可減輕產生獨特的、無法猜測的密碼的工作，並將它們保存在安全的加密管理池中。

從技術而言，一般紙筆筆記本就可完成部分工作，然而，使用基於軟體式的密碼管理器的功能遠不止建立和記憶密碼等工作，管理器可立即產生真正隨機的密碼，並將憑證保存在加密資料庫中，並可跨多個裝置同步所有資料庫。然而，最重要保護層並不是立即顯而易見的。密碼管理員可知道網域（或多個網域）與一組已儲存的憑證有關聯，並且不會在未經授權的網域上輸入密碼。因此，如果駭客製作了一封電子郵件的社交工程攻擊，無論是點擊鏈接或開啟附加檔案，均會遭密碼管理器拒絕輸入憑證。

3.切勿重複使用密碼

擁有一組最喜愛憑證（使用者名稱和密碼）並在多個網站或裝置上重複使用是一般使用者最常的本能，但這也易造成某一個網站的資料外洩後，將使攻擊者能夠存取所有群組憑證，然後在未受洩漏影響的其他網站上去嘗試憑證的可用及有效性。

4.避免密碼提示

密碼提示的整體想法是它由一些對使用者有意義的單字、名稱或日期組成。其實這類密碼是很容易被駭客猜到，而添加密碼提示可便於攻擊者攻擊成功的機率。

5.更改預設密碼

攻擊者攻擊個人或企業網路最簡單且最常嘗試的方法是利用各設備或系統的管理介面中的漏洞。例如，這可Wi-Fi路由器，其預設密碼通常是簡單且眾所皆知的密碼。網路上有任何網路設備，應立即將預設密碼替換成更為強的憑證（使用者名稱和密碼）。

6.盡可能使用多重多重要素驗證（MFA）

無論密碼有多強，也無論多麼小心地保護不被洩露，但總是會發生密碼外洩等攻擊事件。

至今為止，最有效且最佳的密碼保護是確保無人可未經授權在設備上使用或登入帳戶，除非可提供第二種形式的身份驗證，最佳是在使用者擁有的設備上使用身份驗證器應用程式產生隨機密碼。（例如，使用簡訊發送到手機一組代碼等），當然不必對所有事情都使用雙因子認證（Two-factor authentication， 2FA），只針對高價值帳戶使用即可。

7.除非必要，否則不要更改密碼

與所認知中是背道而馳的，資通訊專家們一致認為，定期更改密碼是非必要的，組織無緣無故地要求使用者更改密碼實際上會降低其網路的安全性。為什麼？因為使用者常被迫定期更改密碼，很可能會選擇較弱、易於猜測的密碼。

顯然，如果密碼太弱或在其他使用的密碼重複，就應該更換密碼。且應該在第一次提示密碼時疑似因資料外洩而造成憑證外洩時就應立即變更密碼。

本文參考自：https://www.zdnet.com/article/7-password-rules-to-live-by-in-2024-according-to-security-experts/