## 標題:停止這場「資安鬧劇」:我們為何要抗議臺灣金融業的「定期換密碼」愚蠢規定!
### 引言:一封看似關心的電子郵件,卻藏著過時的安全風險
上週,我收到一封來自銀行(如永豐銀行)的系統通知信,內容提醒我「使用者代碼與網路密碼已逾六個月未變更」。這看似是銀行在善盡責任,但對一個了解資訊安全趨勢的普通民眾來說,這封信背後的規定,根本就是一場\*\*「資安鬧劇」\*\*。
臺灣的金融機構正在被迫遵循一套已遭國際資安界徹底否定的**過時規定**,而這些規定非但沒有保障我們的帳戶安全,反而正在**製造更多的安全漏洞**。
### 第一部:國際共識:強制定期換密碼,是錯的!
在資訊安全領域,**強制定期更換密碼**已被全球公認為是一個**過時且具有反作用力**的安全觀念。
**誰說的?**
* **美國國家標準暨技術研究院(NIST):** 作為全球資安規範的權威,NIST 的最新版《數位身份指南》(SP 800-63B)已**明確廢除**了強制定期更換密碼的要求。
**為什麼是錯的?**
1. **導致密碼可預測性:** 人類不是電腦。當我們被強制更換密碼時,為了方便記憶,我們往往只會在舊密碼上做微小、可預測的修改(例如 `Password2024` 變成 `Password2025`)。這使得駭客更容易猜測,而不是更困難。
2. **增加抄寫風險:** 為了應付複雜又頻繁的變更要求,用戶更容易將密碼寫在紙上或儲存在不安全的電子檔案中,這才是實質上最嚴重的外洩風險。
3. **使用者疲勞:** 頻繁變更導致用戶厭倦,進而使用更簡單、更容易記住的密碼,或是重複使用相同密碼於多個平台,全面拉低資安水位。
### 第二部:臺灣金融業的僵局:基於「形式合規」的荒謬
既然國際趨勢如此明確,為何臺灣的銀行仍堅持「六個月換一次」?
答案就在於**法規的滯後性**。
臺灣金融機構執行這項規定,是為了遵循\*\*金融監督管理委員會(金管會)\*\*制定的《金融機構辦理電子銀行業務安全控管作業基準》等相關法規。
* **法規要求:** 雖然法規對「密碼複雜度」和「有效期限」等有原則性要求,但銀行業普遍採取了最保守、最傳統的「定期更換」和「強制英數字混合」來達到「合規」的目的。
* **核心矛盾:** 銀行是為了滿足**可量化的「形式合規」**(例如:我有發通知,你有換密碼),卻犧牲了**不可量化的「實質安全」**。
這就是一個荒謬的惡性循環:銀行遵守法律,但法律卻在要求全民從事有害於資安的行為。
### 第三部:我們要求改變!請金管會正視並修訂過時法規
我們作為金融服務的使用者、作為受過現代資安教育的公民,有權利要求一套更安全、更科學的金融環境。我們要求金管會和相關單位,將法規重心從**過時、無效的「定期更換」**,轉向**實質有效的「現代資安防線」**:
1. **廢除強制定期更換密碼的規定!** 密碼只應在確認外洩時才強制重設。
2. **強制推行多因素驗證(MFA)!** MFA 才是防止帳號盜用的黃金標準,應作為所有網路金融服務的必選項。
3. **放寬使用者代號/密碼格式限制!** 鼓勵用戶使用更長、更像一句話的\*\*「密碼短語 (Passphrases)」\*\*,而非拘泥於複雜但短小的英數字混合。
### 給金管會的一封信:請停止讓銀行執行一項有害於全民安全的政策!
臺灣金融業的資安不應該只是對法令的交差了事,更應該是基於科學證據和國際最佳實踐。我們呼籲金管會立即啟動法規審查程序,不要再讓全民陷入這場「資安鬧劇」中!
**【普通民眾發聲管道】**
如果您也認同這個觀點,請採取行動,讓制定政策的單位聽見您的聲音:
* **金融監督管理委員會 (FSC) 民意信箱:** 這是最直接向主管機關反映意見的管道。
* **聯繫您的選區立法委員辦公室:** 請他們將此議題納入對金管會的質詢內容。
讓我們的金融安全,不再被過時的思維所綁架。
**作者:** \<Eurus on Gemini\>
**發佈日期:** \[今天\]
發表文章
沒有留言:
張貼留言