入侵攻擊占比逾37% ！資安署示警弱密碼風險，呼籲落實三大帳密防護原則

2026 / 01 / 12

編輯部

數位發展部資通安全署針對近期日益嚴峻的網路入侵威脅提出示警。根據113年度國家資通安全情勢報告，入侵攻擊及入侵嘗試占整體資安威脅類型超過37%，其中暴力破解（Brute Force）為主要攻擊手法之一。資安署強調，帳密安全是抵禦網路威脅的第一道防線，並呼籲民眾落實三大防護原則，避免因弱密碼導致數位資產遭竊。

弱密碼成資安最大破口

資安署指出，弱密碼如「123456」、「admin」或以鍵盤排列順序設定的「QWERTY」等，利用自動化工具幾乎可瞬間破解。暴力破解攻擊的原理是駭客透過反覆測試不同組合來找出正確密碼，只要有足夠的時間和運算資源，就能不斷嘗試直到找到匹配的密碼。資安署以提款卡與密碼作為比喻，強調帳密一旦落入他人手中，數位資產將毫無保障。

除了弱密碼問題，資安署也示警「一碼多用」的風險。若民眾在社群媒體、電子郵件與網路銀行使用相同密碼，一旦其中一個平台遭駭，駭客便能透過撞庫攻擊（Credential Stuffing）嘗試登入其他服務，導致各平台帳密連鎖遭竊。撞庫攻擊的運作方式是駭客從暗網購買或透過釣魚取得外洩帳密後，運用自動化工具於其他網站反覆嘗試登入，一旦成功便可竊取個人資料或從事勒索、詐騙等犯罪活動。

三大帳密防護原則

為有效防範帳密遭竊風險，資安署提出三大防護原則。第一是強化密碼複雜度，密碼長度至少15個字元，並混合大小寫英文、數字及特殊符號。資安署建議可使用密碼管理工具生成及管理密碼，並避免使用個人生日、電話等易被猜測的資訊。另一種做法是運用4到7個無關聯的單字組成密碼，例如「Correct-Horse-Battery-Staple」這類組合方式。

第二是啟用兩步驟驗證（Two-Factor Authentication, 2FA）。除了密碼之外，額外要求第二道驗證，如簡訊驗證碼、身分驗證器產生的動態密碼，或是指紋、臉部等生物辨識。資安署建議民眾優先為網路銀行、Google、LINE、Facebook等重要網路服務啟用此功能，各大服務平台皆在帳號安全設定頁面提供詳細的啟用步驟說明。

第三是定期檢視登入活動。資安署建議民眾每月至少檢查一次帳號的登入紀錄，透過檢視登入的時間、地點或裝置設備，確認是否存在異常存取行為。如發現來自陌生國家或城市的登入紀錄，應立即登出所有裝置並更換密碼，同時啟用兩步驟驗證。此外，開啟異常登入通知功能也能在第一時間掌握帳號使用狀況。