複選題
12. 關於「身分驗證管理」相關控制措施的敘述，下列哪些正確？
(A) 使用預設密碼登入系統時，於登入後無需立即變更
(B) 應具備帳戶鎖定機制，例如：帳號登入進行身分驗證失敗達五次後，至少十五分鐘內不允許該帳號繼續嘗試登入
(C) 已逾期之臨時或緊急帳號應刪除或禁用
(D) 使用密碼進行驗證時，應強制最低密碼複雜度

各選項詳解

(A) 使用預設密碼登入系統時，於登入後無需立即變更

錯

這個敘述錯在 「無需立即變更」。

預設密碼本來就是高風險項目，因為：

• 很多人知道預設值
• 可能是廠商手冊裡公開的
• 很多設備出廠時密碼都一樣
• 攻擊者最先嘗試的通常就是預設帳密

所以正確作法應該是：

• 第一次登入後 立即要求修改
• 不可長期沿用預設密碼

為什麼這很重要

假設一台系統預設帳密是 admin/admin，如果使用者登入後不改，等於把門根本沒鎖好。

所以這種敘述明顯不符合安全控制原則。

結論

A 錯。

(B) 應具備帳戶鎖定機制，例如：帳號登入進行身分驗證失敗達五次後，至少十五分鐘內不允許該帳號繼續嘗試登入

對

這是在描述很典型的 帳戶鎖定機制（account lockout）。

它的目的就是防止攻擊者一直猜密碼，也就是防範：

• 暴力破解
• 字典攻擊
• 自動化登入嘗試

題目給的例子是：

• 失敗 5 次
• 鎖定 15 分鐘

這種寫法就是常見的控制措施範例。重點不是一定永遠只能 5 次或 15 分鐘，而是：

• 要有登入失敗限制
• 要有暫時禁止再試的機制

為什麼合理

如果沒有限制，攻擊者可以 24 小時不斷試密碼。

有鎖定機制之後，就能大幅提高攻擊成本。

結論

B 對。

(C) 已逾期之臨時或緊急帳號應刪除或禁用

對

這也是很標準的帳號管理原則。

因為臨時帳號、緊急帳號通常是為了某個特殊目的而建立，例如：

• 系統維修
• 緊急排錯
• 短期支援
• 專案期間暫時使用

既然它是「臨時」或「緊急」，就不應該在用途結束後繼續保留可用狀態。

否則會變成：

• 沒人在管的帳號
• 權限過大但長期存在的帳號
• 攻擊者容易利用的後門

所以到期後應：

• 刪除
• 或至少禁用

為什麼不是放著就好

因為放著不處理，日後很可能連管理者自己都忘記有這個帳號存在，這就是資安上的隱患。

結論

C 對。

(D) 使用密碼進行驗證時，應強制最低密碼複雜度

對

這也是典型的身分驗證控制措施。

所謂最低密碼複雜度，通常包含：

• 最短長度要求
• 不能太簡單
• 不能是常見弱密碼
• 可能要求混合不同字元類型

目的就是避免使用者設定像這種弱密碼：

• 123456
• password
• qwerty
• 生日
• 手機號碼

這些都很容易被猜到或被字典攻擊破解。

要注意的點

現在有些新標準會強調「長度」和「避免常見密碼」比一堆複雜符號更重要，但在考試與一般控制措施題目裡，

「應有最低密碼複雜度要求」仍然是標準正確敘述。

結論

D 對。