-
一、使用者使用預設密碼登入資通系統時,應於登入後要求立即變更預設密碼後方可繼續作業。
-
二、資通系統身分驗證相關資訊不以明文傳輸。
-
三、資通系統具備帳戶鎖定機制,帳號登入進行身分驗證失敗達五次後,至少十五分鐘內不允許該帳號繼續嘗試登入或使用組織自建之失敗驗證機制。屬電子式交易者,密碼輸入錯誤次數達三次者,應記錄登入失敗事件、鎖定該登入帳號並中斷連線;受理解除鎖定之申請時,應確實辨認身分,並留存相關紀錄後,始得解除鎖定。
-
四、使用密碼進行驗證時,應強制最低密碼複雜度;強制密碼最短及最長之效期限制。
-
五、密碼變更時,至少不可以與前三次使用過之密碼相同。
-
六、上開兩項所定措施,對非內部使用者,可依組織自行規範辦理。
-
七、核心系統身分驗證機制應防範自動化程式之登入或密碼更換嘗試,非核心系統宜防範自動化程式之登入或密碼更換嘗試。
-
八、核心系統密碼重設機制對使用者重新身分確認後,發送一次性及具有時效性符記(如:網站連結或一次性密碼One-time password, OTP,至使用者登記之電子信箱或手機)或其他驗證身分方式,非核心系統密碼重設後宜有驗證身分方式。