工商社论》现代人的密码恶梦如何解

工商社论

根据金管会2019年「普惠金融衡量指标及达成情形」，台湾每十万成年人行动支付交易笔数153万笔、每千成年人拥有的数位存款帐户数为332个，15岁以上民众使用电子支付比率为68.1％；证券市场平均电子式交易成交笔数比重70.82％，期货市场平均电子式交易成交笔数比重95.62％。

国银数位存款帐户截至2021年底达约1,047万户，较2020年底646.3万户大增约400万户或62％，一举突破千万大关。截至2021年底已有35家实体银行、两家纯网银开办数位存款业务，其中，开业未满一年的乐天国际商业银行、连线商业银行（LINE Bank）两家纯网银业者共有80万数位存款帐户。将来银行则计划今年3月开业。

除了三家纯网银，金管会在积极放宽网路投保业务外，也计划开放纯网保；再加上各式基金平台和电子下单交易，台湾的数位金融市场可说是百花齐放、迈向成熟，但在此同时，资安的防护力能不能和金融科技同步发展，成为格外值得注意的问题。

金管会最近宣布的两个政策，一是因应盗刷问题，要求银行信用卡刷卡简讯通知由5千元降至3千元；另一则是针对骇客攻击事件，要全体券商通知国内约1千万名电子下单户必须更换密码。从这两件事，可以发现一个现象，就是金融交易日益便利的同时，个人财产曝露在被有心人利用高科技攻击而蒙受损失的风险也比过去大了很多。另一个问题则是，除了金融机构本身的安全系统持续升级，多数业者也会要求客户透过增加生物辨识、双重验证机制和更换密码等多种方式来提高安全度。

但是回到现实面，密码已经成为现代人的恶梦之一，除了电子邮件、社群平台、网路购物需要密码，手机云端硬碟、各式网路金融服务如网银、基金平台、电子下单等也都要密码，有的密码可以纯数字，有的规定要含英文，有的更规定要含大小写英文，密码字数的设定则从6码到8码都有，还有机构会规定密码和个资如出生年月日、身分证字号、信箱名称等不得雷同，也有规定是同样一组密码就算变更，一年内都不得再重复使用。总之，对于密码设定的规则多如牛毛，且每家业者不尽相同，使得很多人看到「请输入密码」就冷汗直冒，不少人更必须用笔记本来记载各式的密码。

当然，出于保护消费者的立场，业者提高对密码设置难易度的要求，并没有错。但各式电子交易的本意是便利性，如果因为密码设置和记忆难度过高，导致连要使用该系统都困难重重，就有点失去便利性的原意了；另一个问题是，如果密码难记到要另外用笔记本或手机记事本来记录，万一笔记本或手机遗失，所有密码都在上面，某种程度是不是反而更不安全，也有违设立密码最初的安全原则。对于各种系统，密码确实已成不可缺少的一部分，但骇客如果连系统都可以攻破，密码只是最初级的保护，设置要求实在不必过于苛刻，还是应以民众方便记忆为主。

再说生物辨识，比起密码可说人性许多，例如脸部辨识，除了疫情期间因为需要脱口罩而略显麻烦，原则上只要没有去整型整到面目全非，至少不必苦记密码就能顺利登入；指纹辨识和声纹辨识也是常见的生物辨识方式，同样也较输入密码简单好用。不过，大部分电子装置上的生物辨识都有一个共同的问题，就是一旦该设备（如手机或平板）老旧或遗失而要换新设备，所有的生物辨识都必须先回到输入密码的原点，登入后才能重新设置；有时服务端（如网银、券商）系统调整，也会要求先用密码登入后再重新设置，也就是，最终密码还是掌控能不能顺利登入使用系统的关键。

过去很有名的一句广告词叫「科技始终来自人性」，云端时代，电子化使得生活中很多大小事都在网路进行，密码等于是通行证，这张通行证安全与否很重要，但如果通行证取得难度过高，反而会让通行证变成挡路桩，因此主管机关在宣导民众应定期更换密码的同时，也应检视业者对密码设置要求是否过于严苛，例如一年内不得重复使用同一组密码的要求，反而可能使很多人因为怕没这么多密码可使用，或担心记不住太多组密码，反而不愿常更新密码，这样的结果犹如因噎废食，也不符合大部分使用者利益。

况且说到底，资安防护的重点还是在企业，银行和券商的资安系统更是重中之重，金融机构系统如果出包或被骇客入侵，使用端的民众就算密码设的再刁钻严谨也是枉然。反过来看，只要业者的验证机制和资安系统有效，消费者只要善尽保管好本身密码如不外泄、定期更换等即可，没有必要也不应揹负所谓避免资安风险的责任。因此，主管机关与其盯业者是不是有叫消费者改密码，重点还是应该回到定期考核业者的资安防护能力是否足够。

在此同时，希望主管机关可以对密码设置有较统一的要求，例如请业者必须提示「本密码为几码并含英数大小写」，至少可让民众比较方便回忆，而不是望着登入键兴叹，或不停按「寄件找回密码」，毕竟安全重要，方便也很重要，否则失去便利性的网路活动相较实体也就没有太大的优势可言。