3-4 組織夥伴的行為規範

2025年7月11日
讀畢需時 2 分鐘

已更新：2025年11月9日

密碼管理

好的密碼管理，是所有組織夥伴共同守護的第一道資訊安全防線，當密碼外洩或遭破解，意味著駭客取得你的員工識別證、通過門禁系統，大搖大擺地走進辦公室但沒有人發現！

建議作法（擇一）

以下兩者都需要定期更新密碼，降低風險。

方法一、設定一組高強度密碼：

長度：14字以上複雜度，包含英文大小寫、數字、特殊符號。

定期更換密碼。

具有高權限的密碼，應該至少18字以上、並以無邏輯的字串組成。

方法二、使用密碼管理工具：

透過設定一組超高強度的「主密碼」來保護其他密碼，有些具有「自動輸入密碼」功能的工具，可以同時達到防範釣魚網站的效果。

選擇密碼管理工具時，建議將「收費方式是否為訂閱制？」、「過去因應資安事件的經驗為何？」、「是否為開放原始碼？」納入評估，以判斷該工具是否持續改進產品、有足夠的危機處理能力、有活躍的社群成員可以協助檢視和修復安全漏洞。

※ 避免事項 不要使用連續數字或依據鍵盤順序當密碼。 1. 使用不同軟體、平台、系統等服務時，可以使用同樣的帳號，但不要設定相同的密碼。 2. 不要直接使用第三方登入。避免當其中一個服務的密碼被破解或外洩時，其他服務連帶遭受風險。 3. 夥伴們不要共用同一組帳號密碼，以避免增加密碼外洩的風險、難以釐清帳號管理責任。 4. 不要用「明碼」保存密碼，包含將密碼記在便條紙上並張貼螢幕旁、存在未加密的純文字文件(txt)、記事App、電子郵件、雲端文件等方式。

雙因素驗證(2FA)

又稱雙重驗證、二階段驗證，意即除了密碼之外，透過其他方式再次確認登入者的身分。驗證的方式很多元，常見的做法像是：要求回傳發送到簡訊或Email的驗證碼、提供登入者的語音或臉部特徵、提供身分證件……等，來達到第二層保護。

實際技術作法建議

密碼管理、雙因素驗證：

1. 使用現有資源，使用 M365 或 Google workspace 的公益組織，可在管理後台進行密碼要求與雙因素驗證設定。

2. 在工作夥伴手機上安裝必要的2FA應用，如 Google Authenticator 或 Microsoft Authenticator 。

3. 開啟其他系統合作廠商的密碼規則與雙因素驗證機制。

定期更新軟體：

妥善運用資源，如：向科技濃湯申請非營利組織版的軟體方案，有效降低軟體使用成本。