资安月报揭露 机关电子邮件密码「键盘排序」易遭骇客破解

行政指出，4月发现有政府机关电子邮件密码出现外泄事件，经查外泄帐号密码多采用键盘位置排序，容易遭骇客破解入侵。（本报资料照）

行政院最新一期资安月报指出，某机关4月被发现电子邮件帐号密码外泄事件，经机关调查发现外泄帐号密码多采用键盘位置排序，例如1qaz@WSX，虽符合长度及复杂度要求，仍易遭骇客破解，建议相关机关应加强宣导避免采用键盘排序设定密码或常见字符转换的字母，降低密码遭破解风险。

最新一期资安月报指出，4月搜整政府机关资安联防情资共6万9964件，经分析资安联防情资，可明确辨识的威胁种类，第1名为扫描刺探类占62％，主要是外对内连线大量阻挡事件及外部主机执行扫描探测攻击；其次为入侵攻击类占16％，主要是网页攻击行为及国外IP攻击行为；第3名是政策规则类占15％，主要是帐号持续登入失败。

资安月报指出，近期Java应用程式框架Spring Framework遭揭露存在远端程式码执行漏洞，发现近期若干外部IP尝试探测政府机关Spring框架相关漏洞，传送夹带恶意字串的参数请求，以及使该框架处理资料绑定(Data Binding)时执行远端程式码，如新增网页后门等，技服中心已透过联防监控月报，提供相关防护建议予各机关参考。

另外，资安月报提到，4月某机关电子邮件帐号密码外泄，经调查后发现，外泄帐号的密码多采用键盘位置排序，如1qaz@WSX，虽然符合长度及复杂度要求，仍易遭骇客暴力破解。

月报表示，政府机关规定使用者密码设定须符合复杂度原则，骇客常采用密码暴力破解，后续已请使用者修改外泄帐号的密码，并加强内部宣导，避免采用键盘排序设定密码，或者是常见字符转换的字母，例如P@ssw0rd。

根据资安月报统计，去年政府机关多次发生因使用身分证字号、生日、电话或是123456等简单规则的弱密码，导致资通系统遭破解、机敏资讯外泄，已要求各机关资通系统应禁止使用弱密码，降低骇客入侵产生的资安风险。