[0:04]好,各位媒體朋友早安,我們非常謝謝大家呢,今天麗林由書發部資安署呢,所主辦的強化帳密安全的記者會,那開呢,我先介紹我們的工作團隊,首先是我們蔡夫龍蔡署長,資安署蔡署長,歡迎署長 好,那再來就是我們的中規組的玉姐組長,還有我們的中規組的中環高分,好,這是我們承辦單位,好,那我是秘書室的玉偉,好。 那接下來呢,我們就是進行今天記者會的這個說明,那我們是不是先請署長來幫我們來說明一下。 好,謝謝,各位媒體朋友,大家早安,我想今天的記者會主要還是跟大家報告一下有關於這個賬號跟密碼的安全。 我想這個是跟每一個我們民眾都有相關的一件事情,因為現在我們幾乎都離不開自通性系統,那進入系統的第一步,就是賬號密碼,通關密,那怎麼樣那維持一個非常安全的 這個賬號密碼,我想這是一個最重要的第一步。
[1:10]那我想今天要跟大家特別報告,有這樣一個主題,也特別提醒民眾要注意這個我們賬號密碼的這一個安全。 那接下來我們是不是請我們密書室主任李毅偉,李主任這邊來先做一個簡報,謝謝。 好,謝謝大家,好,那接下來呢,我們就來跟大家呢,就這個今天的主題呢,強化賬密安全,來進行一個說明,好。 那我們會詳細的跟大家來說明呢,如何呢來保護您的賬號密碼,來確認您的這個隱私以及你財產的安全,好。 那我們今天呢
[1:56]好,不好意思,操作上有些小狀況,好。
[2:00]那我們今天簡報的大綱主要會分著四個部分來跟大家說明,第一個部分我們會跟大家介紹現在網路威脅的一個現況,網路威脅的一個現況,第二個呢,我們會舉出幾個真實的案例 來跟大家提醒呢,如果我們忽略了這個賬密的安全呢,可能會有怎麼樣的一個代價,好。 第三個我們會來舉出具體的一些方式,來教大家如何強化您賬密的安全,好,那最後一個我們會提供一個賬密安全人包給大家來做一個參考,好。 那首先我們來看一下這個威脅的現況,好,那我們來想一下為什麼現在政府呢,要一直來倡導這個賬號密碼的安全呢,我們來回想一下。 我們在日常生活中呢,如果我們要去辦理一些重要的例如說財產的移轉啦,或者說是借貸,我們是不是需要兩種東西,第一個就是來代表您身份的身份證。 然後第二個呢,是來您授權同意的這個印章,好,那在網路世界呢,賬號呢,就像是您的身份證,好,那密碼呢,就像是那一顆印章。 好,那萬一不小心呢,您的身份證跟印章,或者說是您的賬號跟密碼呢,被駭客給偷走了,好,那怎麼辦,他可能就會來代表您的身份,去把您的錢都轉走。 甚至來簽署一些同意書,甚至呢,去詐騙您的親友,好,所以呢,我們如何保護我們自己的賬密安全呢,確實就是我們這個數位防禦的第一道防線,那這個絕對不是威言聳聽,所以根據我們的國家資通安全情勢報告這個統計,有超過37%的這個資安威脅呢,就是來自於入侵攻擊以及入侵的嘗試。 這個表示什麼,有超過三分之一的這個壞人,試圖用各種的方式,想要來取得您的賬號密碼,賬號密碼,那這些駭客呢,常常用的一種方式叫做暴力破解,好,什麼叫做暴力破解,其實它的概念呢,就有點像是,如果我們今天要開一個我們行李箱的這個密碼鎖, 如果我們忘記密碼了怎麼辦,我們會從000,001,002,一直揣揣到999,總有一組號碼是對的吧,那駭客呢,他也是用同樣的方式。
[4:22]只是他們是用超級電腦來跑程式,來反复測試各種不同的組合,來找出正確的密碼,好,所以一旦呢,我們這個賬密安全呢,被駭客給奪走了,基本上我們的數位資產呢,就沒有保障了。 好,所以接下來我們要跟大家舉幾個真實的案例,好,那我們先來看一下第一個案例,我們先看一下熒幕上這個鍵盤,我們現在來談談什麼叫做弱密碼,弱密碼就是駭客他閉著眼睛就可以猜得到這種很弱的密碼,以鍵盤鍵盤上這個熒幕上來看。
[5:01]如果您方便來說,QWR滑一排就滑過去了,或者說是123456滑一排就過去了,基本上這樣子的密碼對於駭客來說呢,等於說您門是沒有鎖的,沒有鎖的,所以我們第一個案例看起來呢,某一個機關呢,他就 就是用這樣子的弱密碼,那弱密碼呢,配合我們剛剛講的這個駭客的暴力破解,其實呢,是完全沒有辦法抵抗的,他一秒就被猜中了,那一旦你的賬密呢,被拿走了之後呢,基本上駭客就可以直接怎麼樣呢,持入惡意的程式,好,所以我們就必須知道,那什麼到底叫做弱密碼,我們這邊幫大家整理了兩類。
[5:42]兩類,第一個就是所謂叫做懶人類的,就是說你使用呢,太簡單的,太短的密碼,123456,ABCDE,這種很簡單的密碼呢,就是屬於懶的類,很快就會被猜中,再來就是屬於呢,各自類的,就是你使用個人的資料,例如包含你的電話,生日,身份證號,你的姓名等等的,這樣子資料其實很容易都被猜到。
[6:07]所以呢,如果你在座的各位,你有使用這樣的密碼,請你務必趕快把它改掉,好,那接下來案例二我們要來先來講一個叫做撞庫攻擊,其實這是一個呢,常常呢被大家忽略,但是又非常重要的一個概念,什麼叫做撞庫攻擊,我們用白話的來說,白話來說就是拿舊的鑰匙去開新的門。
[6:33]好,我們試問一下在座的各位,有時候呢,我們是不是怕忘記,所以我們在很多的網站,甚至一些社群的軟體,甚至是你辦公室的這個公務賬號,我們都使用同一組的賬號跟密碼,好,那駭客呢,就是抓準你這個習慣。
[6:51]那我們來看一下駭客到底怎麼操作的,第一個,它可能會在其他的網站呢,先去買到您這個已經外洩的賬密,甚至直接用釣魚取得你的賬密,好,那這就是我們說的那一把舊的鑰匙,好,那第二個步驟呢,它繼續是會用程式呢,自動的把你的鑰匙呢,在不同的網站來試試看,可不可以打開那一扇門。 好,那因為你剛好是呢,一碼多用的情形,你這個門就會被打開了,就會被打開了,等於說呢,駭客就可以直接存取您的資料,存取您的資料,好,所以我們這邊要強調的一個概念就是說,他專庫攻擊呢,不是拿別人的密碼哦,他是拿您自己已經曾經洩露過的密碼來攻擊您自己。 所以這邊要特別強調大家,不要一個號碼行騙天下,因為這樣就有可能會被撞庫攻擊給攻擊了,好。 所以我們第二個案例就是講一個實際的情形,就是有一個駭客呢,他可能就是大量去收集了這個外洩的賬密,然後到某一個公司的這一個會員的系統,好,他呢就是抓準了這些會員可能會有怎麼樣,有一馬多用的這個壞習慣,他就來試,他一下就試中了。 所以他呢就把這個會員的這些點數呢,兌換成商品券來變賣的牟利,好,所以即便呢,這個公司他本身的這一個網站是安全的,但是如果您的這個密碼使用的習慣是不好的呢,所以一樣會有這個風險的存在,好。 來第三個我們要看的案例呢,就是社交工程,那社交工程我們常常看到就是一種形態叫做釣魚郵件,那這個案例呢,就是在講一個機關的一個管理員,臉書的管理員,那他的賬號密碼呢,不小心他誤點了這個社交工程,他的賬號密碼被騙走了,那偏偏呢,他這組賬號密碼呢,又是他機關臉書的這個賬號密碼同一組,一模一樣。 好,所以呢,還可取得這組賬號密碼之後呢,他就上傳了一些不當的影片啊,那甚至呢,還可以把一些民眾的一些各自給拿走,好,所以我們這邊這個案例我們學到了什麼,就是還可能會透過社交工程的說法來騙取您的賬號密碼,但是如果您又同時在不同的網站使用同樣的賬號密碼,所以呢,可能一旦你中標之後,你的這個公務網站的這個密碼也會受到影響,所以這個部分要特別提醒大家。
[9:25]好,那所以剛剛提到那麼多案例呢,那到底我們要如何來強化今天賬密的安全性,也是我們今天記者會的重點,好,那首先我們看到第一個方式呢,相較於剛剛我們提到的弱密碼。 我們這邊要來談談看如何使用強密碼,好,那我們這邊呢,有參考美國政府的這個資訊安全單位呢,就是CISA呢,CISA所提供的相關的一個標準,我們來看,有大概有三個方式來提供大家做一個參考,第一個就是要增加密碼的長度以及複雜度,密碼長度呢,我們建議至少要包含15個字以上,甚至呢是越長越好,越長越好。
[10:05]那這個密碼的組合呢,基本上呢,要有點像大雜會,像大雜會,你要使用大小寫的英文,還有數字,甚至一些特殊的符號把它拼湊起來,這樣就不容易被猜到,好,那第二個部分呢,就是我們剛剛提到的,你要避免一碼多用的情形,你不要在不同的網站呢,都使用同一組賬號密碼。 好,一旦如果你一個網站被攻火,那你其他網站就會照樣,是不是,那你可能就會說,那我記不住那麼多賬號密碼怎麼辦,那其實我們也會建議大家或許可以使用一些密碼的管理工具來幫您產生跟管理這些比較特殊的密碼,好。 那第三個呢,就是我們也教大家如何來設定您的密碼,就是提醒大家千萬不要使用生日啊,姓名啊,電話這種很容易被猜到的這些各自的資訊,甚至呢,我們也可以教大家一個方式,您可以運用,例如說四到七個無關聯的這個英文單字來組成這樣子一個密碼。 例如說我們熒幕上所看到的這個Correct,Horse,Battery跟Stample,這幾個單字拼起來呢,好過你卻背一個沒有意義的這個亂碼,那這樣子的方式基本上都可以來加強你這個密碼的這個強度,好。
[11:23]那除了剛剛的密碼之外呢,還有一個也是很有效的一個防護照,它叫做啟用兩步驟的驗證,聽起來好像有點專業,有點專業,那其實呢,
[11:36]大家在日常生活中已經常常用兩步驟的這樣子的一個做法,我們來回想一下,我們如果在網路上購物呢,我們在網上要刷卡的時候,基本上我們第一個步驟幹嘛,先輸入我們的卡號,對不對,好,可是會不會立刻就扣款,不會,因為我們的銀行呢,會再傳一個簡訊的驗證碼給您。 您必須輸入一串的數字時候才能夠完成這個交易,兩步驟驗證是同樣的概念,好,所以就是您在輸入了賬號密碼之後呢,系統會要求您第二道的一個驗證,例如說包含手機的簡訊,還有甚至有一些APP的一個驗證的代碼,或甚至更進一步可以用生物辨識的方式來處理,例如說包含您的人臉辨識,您的指紋辨識等等。 那這樣子的好處在哪裡呢,也就是說雖然如果這個駭客呢,他取得您的賬號密碼,可是呢,因為他沒有您的手機,他沒辦法得到您這個手機的這個認證碼,也沒辦法把您的臉拿去做一個辨識,好,所以呢,他就沒辦法來入侵您的這個賬號,好,所以這是一個非常重要的一個兩步驟的驗證的做法,所以我們也會提醒大家呢,可以趕快把您相關重要的一些賬號。 例如說包含您的一些Mail或是臉書,LINE甚至一些網路銀行的部分,趕快來啟用這樣子的兩步驟的一個驗證。 好,那我們這邊就實際舉出幾個案例給大家做一個參考,例如說大家常用的LINE,好,那如何來啟用這個兩步驟的驗證呢,我們可以到我們首頁,我們選擇那一個齒輪,齒輪,基本上呢,再選擇我賬號之後呢,我們就把它網路登頁的登錄的這個雙重認證把它打開。 那打開之後呢,會有怎麼樣的一個情形,我們就來看,好,如果今天我們不是在手機登錄,我們可能是在電腦要登錄,基本上,您輸入您的賬號密碼,這是所謂第一重驗證之後呢,這個手機會直接跳出一個訊息,就是說您確定要登錄嗎,這個時候呢,您電腦會有一個顯示的驗證碼,例如說這個873028這樣子的數字,這個時候呢,您就必須拿出您的手機來輸入這樣子的驗證碼。 完成我們第二個步驟的驗證,好,這個時候呢,你的手機呢,才能夠放心您登錄,好,那這樣子的好處也是一樣,如果今天駭客不小心拿到您的賬號密碼,可是呢,他沒辦法拿到您手機的驗證碼,所以他也沒辦法得到您的賬號哦,好,這是LINE的部分。 那Google的部分呢,基本上也有相同的一個操作做法,我們可以看到從我們的設定管理的賬戶的部分呢,基本上可以從安全性登錄來選擇兩個步驟把它把它做一個開啟,這個時候呢,如果您從非手機的裝置登錄,您輸入完賬號密碼之後呢,這個時候一樣第二步驟就會出來了。 Google就會問您說,請問一下嘗試登錄的是您本人嗎,這個時候,您按是才能夠完成第二個步驟的驗證,那別小看這個動作哦,這個動作可以防止很多駭客的入侵哦,好,好,所以這就是所謂Google的一個兩步驟的一個驗證,好。 好,那我們再講到第三個一個賬密安全的一個保全的方法呢,就是所謂定期巡邏,好,時代大部分的服務基本上都有提供這樣子的服務,可以讓您定期的來檢視,您是不是有異常登錄的一個狀況。 好,所以我們會建議大家呢,每個月至少來檢查一次,您是不是有異常登錄的一個狀況,例如說你可能人都國內,可是你怎麼會有在國外登錄的情形呢,這就異常的情形,這個時候怎麼樣,趕快變更你的密碼,甚至來啟用我們剛剛提到的兩步驟的驗證,甚至我們現在Google呢,也都提供了這樣一個登錄通知的服務。
[15:19]就是說今天如果您是,不是常用的裝置,或者說是您奇怪的地點,基本上您異常登錄的情形呢,Google都會提醒您,那你要做什麼,當你看到這個通知呢,千萬不要忽略它,如果這個時候呢,不是您登錄的,請您就把它按否,甚至呢,趕快來變更您的密碼,這個時候就可以及時防堵這個駭客的入侵,所以這個也是教大家的一個做法。 好,那最後呢,我們一樣幫大家整理了一個懶人包來提醒大家注意的事項,好,那其實呢,資安就是我們生活安全的一個部分,我們希望大家可以透過這幾個步驟呢,來強化我們賬密的的安全,來有效有效的降低我們這個資料洩露的風險,好,第一個就是使用強密碼。 我們剛剛提到的,我們現在讓這個密碼比較複雜,而且長度盡量長一點,好,而且呢,最重要的怎麼樣,不要一碼多用,一個號碼從騙天下,好,讓你的號碼呢,流落在外面,好,所以最後呢,我們也要提醒大家,給大家一個Slogan來提醒大家的印象,就是怎麼樣呢,一站,一密碼,駭客沒辦法。
[17:18]開啟雙重所,駭客無處躲,我是資安署,我們跟大家一起信賴台灣,守護台灣,謝謝。
[17:51]好,謝謝李主任,我想剛剛這個淺顯而且非常清楚的說明,有關於這個賬號密碼的一個安全性。 我想在網路世界,這個身份識別是一個最重要第一步,只要通過安全的身份識別的一個驗證,才辦法這個能夠取得一個安全的相關的服務,這個是最重要的,那常常也是最難的一個部分。 所以我們要提醒民眾就是對於這個賬號密碼的這個使用跟啟用相關安全的的這個機制,我想這是非常重要的一個部分,好,那接下來不曉得媒體朋友有沒有要要提問。
[18:32]好,謝謝,我想因為最近我發現好像資安署現在好像多了一些對民眾在一些資安觀念宣導上面的一些作為,可是我覺得我們做這些事情好像,雖然我們有教導了一些觀念,可是很多的民眾在實際操作上面還是會有一些困難。
[19:00]關於這種資安觀念的宣導,除了這種記者會之外,我們是不是還有一些更有趣的的方式,比如說動畫卡通或者是一些諸此類的方式,因為這種很很,你知道還是很有技術性的東西,很多人在設定啊上面,我們聽起來可能大家習慣都用很簡單,可是可能對於一些更更民眾跟一般人的來講都還會有一點點困難度。 有沒有其他的想法這樣,因為我只是感覺上面最近在對於民眾的資安宣導上面有多做一些努力這樣子,我想說是不是還有更多的方式想法這樣子,謝謝。 好,謝謝,剛剛的提問,我想非常寶貴,的確是,大家可以發現我們現在會強調全民資安意識,也就是資安其實不是我們機關或企業要特別注意的,其實跟民眾是息息相關的。 那怎麼樣提升民眾的資安意識,就是為什麼我們最近不斷以來用一些比較淺顯的方式,當當然就是這些都跟民眾有非常相關人性,那尤其是民眾是非常廣,也不同的年齡層,的確是,所以前民資安意識的部分,的確是如您所提的,可能要更多不同的方式,包括各種的包括一些您剛提到的動畫懶人卡或是有一些相關的透過社群或者透過一些相關的平台的的一個相關的對民眾的一個宣導。
[21:00]那目前比較會多問題的,大概就是比較屬於社會上比較年紀比較增長的這這些民眾,因為他們在網路社群的這個使用可能比較陌生,所以我們比較強調這一部分的宣導,大概是這樣,所以比較強調在電子媒體上面,因為你說他們不去看社群媒體,你在社群媒體他們做一些動畫其實他也看不到。 所以我我想還是要看到社重的一個真正他們的客群在哪裡,那我們再來看,不過您剛提到的的確是全民資安意識這塊是我們從在第七期國家發展方案裡面持續在推動一項,就讓全民都有這樣一個意識,我們才可以主起一個安全的網路的的一個正線,大概是這樣的一個目的,好,謝謝,那也歡迎你再給我一些寶貴的建議,好,謝謝。
[24:53]你好,我是楊廣楊廣台紅明,我想問的是剛才有提到說社群社群媒體會有會有下一些資安外洩的部分,那剛好最近Instagram這邊有大概一是有1700多萬個各自外洩,想問的是發這邊有沒有接貨或Instagram這邊跟我們通報,那根據台灣的用戶上大概有多少人受到影響呢。
[25:49]謝謝,這個這個問題因為他是跟我我們數財署這邊,因為是網路平台這個部分,那這個部分可能要麻煩我們問一下數財署這邊,因為今天數財署的同仁沒有來這裡,所以我並不了解,但我所了解數財署如果這樣的信息他們都第一個時間就會去了解相關的這個媒體的一個狀況,然後去掌握這個情形,然後做相關的處理,但因為今天沒有數財署的同仁在這個地方,所以我沒有辦法回答這個這個問題,抱歉。 謝謝。
[26:26]你好,我是陳員觀信,我我想請教一下就是,現在很多政府跟國營企業都有要求賬號密碼設定嘛,可是我我發現有很多的密碼的好像還沒有統一,有些可以用特殊資源,有些不能用,那資安署會不會去可以去要求他們做比較統一的管理,謝謝。 謝謝,一般密碼來講,剛剛我們的介紹裡面有密碼的強度跟長度,所以長度是有時候你用大小寫還有一些特殊符號等等的一個組合,有些是要這樣子,那有些是用比較單純的的這個,例說你可能用兩種,用三種的不同變化的組合,這是一個強度。 那長度就是你要多長的這個密碼資源,那一般而言這長度的重要性比較重要,因為那個長度會影響它暴力破解的時候的次數,那個那個強度差一個就我所理解的我們本身的實驗,它影響不是最主要因素,那個長度才是它最主要的因素,大概是這樣子。
[34:28]好,那如果沒有其他的問題,我們今天的記者會是不是就到這個地方,好,謝謝各位媒體,好,那我們也都有提供新聞稿給各位參考,那如果沒有特別其他的問題,那我們今天會議就到這邊,謝謝大家。
