-
-
一、資通系統應具備唯一識別及鑑別公司內部、外部使用者(或代表公司使用者行為之程序)之功能,禁止使用共用帳號。
-
二、使用者使用預設密碼登入資通系統時,應於登入後要求立即變更預設密碼後方可繼續作業。
-
三、資通系統不以明文傳輸身分驗證相關資訊。
-
四、資通系統具備帳戶鎖定機制,帳號登入進行身分驗證失敗達三次後,至少十五分鐘內不允許該帳號繼續嘗試登入。
-
五、屬電子式交易資通系統,使用者密碼輸入錯誤次數達一定次數者,應記錄登入失敗事件、鎖定該登入帳號;受理解除鎖定之申請時,應確實辨認身分,並留存相關紀錄後,始得解除鎖定。
-
六、資通系統如使用密碼進行驗證時,應採用優質密碼設定,設定密碼最長使用期限為三個月,檢核密碼最短使用期限及密碼歷程記錄為三代,如為客戶帳號者,除優質密碼設定外,其餘密碼設定可依公司自行規範辦理。
-
七、網際網路交易服務系統身分驗證機制應防範自動化程式之登入或密碼更換嘗試,其餘系統宜防範自動化程式之登入或密碼更換嘗試。
-
八、提供對外服務之核心系統密碼重設機制對使用者重新身分確認後,發送一次性及具有時效性符記(如:網站連結或一次性密碼One-timepassword,OTP,至使用者登記之電子信箱或手機)或其他驗證身分方式,其餘系統密碼重設後宜有驗證身分方式。
-
九、應遮蔽資通系統鑑別過程中之資訊。
-
十、資通系統如以密碼進行資通系統鑑別時,該密碼應加密或經雜湊處理後儲存。