[研究]何謂"預設密碼"？

[研究]何謂"預設密碼"？

2024-10-04

法規名稱：資通安全責任等級分級辦法 EN
修正日期：民國 110 年 08 月 23 日
附表十 資通系統防護基準.PDF
https://law.moj.gov.tw/LawClass/LawGetFile.ashx?FileId=0000298115&lan=C

"使用預設密碼登入系統時，應於登入後要求立即變更"，何謂 "預設密碼" ?

ChatGPT 說：

"預設密碼"（Default Password）是指系統或設備在出廠或初始設定時，廠商預先設定的通用密碼。這些密碼通常是為了方便用戶第一次登入系統或設備而設置的，常見的預設密碼例子包括簡單的組合，如 "admin"、"password123" 或 "123456" 等。

這些密碼通常是公開且固定的，若用戶在首次登入後未及時更改預設密碼，可能會被他人利用，從而造成系統或設備的安全風險。因此，安全最佳實踐建議在使用預設密碼登入後，立即要求用戶修改為唯一且強度較高的密碼，以確保系統的安全性。

********************************************************************************

若為系統自動替使用者建立的密碼，但大家密碼不同，算預設密碼嗎？

ChatGPT 說：

如果是系統自動替每個使用者生成的密碼，且每位使用者的密碼都是不同的，那麼這不算「預設密碼」。預設密碼通常指的是所有使用者在初始狀態下共用的相同密碼，如「admin」或「password123」這類通用密碼。

然而，雖然這類系統自動生成的密碼並非預設密碼，仍然建議在首次登入時強制使用者更改密碼。即便系統生成的密碼是隨機的，使用者自己設定的密碼通常會更安全，且這樣的做法可以降低潛在的安全風險。

********************************************************************************

若系統管理員替使用者建立的密碼，但大家密碼相同，算預設密碼嗎？

ChatGPT 說：

如果系統管理員為所有使用者設置相同的密碼，那麼這個密碼可以被視為「預設密碼」，即使它是由管理員手動設定的。這是因為所有使用者初次登入時使用相同的通用密碼，這與「預設密碼」的概念一致。

無論是由系統自動生成或管理員手動設置的，若該密碼是所有使用者共用的，系統應在首次登入後強制要求使用者更改密碼，以減少被他人猜測或濫用的風險，從而提升系統的整體安全性。

********************************************************************************

若系統管理員替使用者建立的密碼，但大家密碼不同，算預設密碼嗎？

ChatGPT 說：

如果系統管理員為每個使用者設置了不同的密碼，那這些密碼通常不會被視為「預設密碼」。預設密碼的特徵是通用性，即多個使用者在初次登入時使用相同的密碼。而當每個使用者的密碼都不同時，它們就不符合預設密碼的定義。

然而，儘管這些密碼不是預設密碼，安全的最佳做法仍然是要求使用者在首次登入後更改密碼。這樣做可以確保即使是由管理員設置的初始密碼，也不會長期使用，從而降低安全風險。

********************************************************************************

基本上，為了避免和稽核員爭議，筆者建議使用者第一次登入，就強迫使用者變更密碼。

(完)