电子发票平台弱密码 财部六招补漏

张文熙说明，电子发票服务整合平台主要提供营利事业针对所开立电子发票存证及查询，以供帐务及营业税申报参用。

财资中心5月10日接获反映，指平台配赋的预设密码为弱密码，且未强制变更即可登入，存有资安疑虑。

财资中心统计，该平台目前有39万6,163家营利事业注册，其中使用工商凭证注册者32万731家，可能受弱密码影响的仅有以帐号密码注册的6万6,452家（排除已歇业注销），截至19日尚未变更密码者计有4万7,423家。

财资中心表示，事发后已启动六大应变，11日起新申请登入平台帐号预设密码改为12位英文数字乱数；12日以电邮通知使用预设密码的营利事业变更密码；13日起针对使用平台配发预设密码者，于登入平台后强制立即变更密码。

16日起须输入第二因子，才能变更预设密码，以直接阻挡使用旧有预设密码登入；17日起，营利事业登入后，将于操作页面显示上次登入时间；18日起提供营利事业可选择以电子邮件通知登入情形。

财资中心说明，目前8成营利事业是采工商凭证注册后自行设定密码登入整合服务平台，仅2成营利事业使用整合服务平台核发的预设密码登入，财政部有要求使用者变更它的密码，但过去没有稽核到业者是不是真的有变更。

针对后续精进措施，财资中心表示，一是营利事业每90日就需要选择变更或保留原登入密码；二是提供营业人调阅查调纪录；三是后续新申请者，会以加密附件发送强预设密码。