一組密碼用十個網站導致被駭，或許網站開發也要負點責任？

AI 技術飛速發展，我們的網路安全基礎卻仍受制於最脆弱的一環：密碼。密碼管理公司NordPass 發布的研究報告揭露，在對全球訪問量最高的 1,000 個網站進行深入調查後，研究人員發現弱密碼文化已經普遍存在，成為網路生態系統中根深蒂固的問題。

網站無法做到基本的密碼安全要求

研究結果顯示，網站在安全設計上缺乏一致性，這種系統性的失敗，直接導致使用者難以建立強密碼習慣，更遑論養成良好的安全行為。

在受調查的網站中，58% 允許不含特殊字元的密碼，42% 沒有設定最小長度要求，更有 11% 的網站完全沒有任何密碼限制——僅有 1% 網站符合最佳網路安全要求，即要求使用較長的字串、大小寫混合以及多樣化的字元組合。

除此之外，政府、醫療與食品類網站在密碼政策執行上表現最差。這些產業理應是安全防護的典範，因為它們處理著高度敏感的個人資料和關鍵基礎設施數據，但現實卻完全相反。這些網站往往為了提高使用者註冊率和降低進入門檻，選擇犧牲安全性來換取所謂的「使用者友善」體驗。

NordPass 產品負責人 Karolis Arbačiauskas 指出，當一個網站接受 password123 這樣的密碼時，使用者就會學到這樣就足夠了。這種安全文化的鬆懈是雙向的，意即開發者忽視規範的重要性，而使用者因此缺乏必要的安全意識。

這種現象造成了一個惡性循環。網站為了追求註冊便利性而放棄嚴格的密碼政策，這種做法逐漸讓「弱密碼常態化」。當使用者在多個平台上都能使用簡單密碼時，他們自然會形成一種錯誤的安全認知，認為這樣的密碼已經足夠安全。這種認知偏差不僅影響個人資料安全，更可能對企業和政府的資訊系統造成嚴重威脅。

網站安全設計滯後，密碼政策與威脅速度脫節

儘管身份驗證技術不斷進步，但先進的解決方案並未普及。報告顯示，雖然 39% 的網站支援單一登入功能，但只有極少數網站實施了更安全且使用者友善的通行密鑰（passkeys）技術。這種技術採用的不平衡，導致多數平台仍然停留在過時的密碼系統中，無法有效應對網路威脅。

更令人擔憂的是，AI 網站建立器和自動化註冊系統的普及，進一步削弱了安全檢查的層級。這些工具雖然大幅降低了網站開發的門檻，讓更多人能夠快速建立線上服務，但它們往往將安全性置於次要位置。

執法不力的後果是攻擊面的急劇擴大。在 AI 工具的協助下，攻擊者可以輕易地對弱密碼實施自動化攻擊。過去需要大量時間和資源的暴力破解攻擊，現在可以在幾分鐘內完成。當網站沒有實施適當的密碼複雜度要求和登入失敗限制時，這些自動化攻擊的成功率會大幅提升。

最嚴重的風險在於密碼重複使用所造成的連鎖效應。當使用者在多個系統中使用相同的弱密碼時，一個網站的資料外洩可能導致連鎖反應，影響到使用者在其他平台的帳戶安全。這種風險不僅影響個人，更可能波及企業和政府的資料安全。想像一下，如果一名政府員工在個人社交媒體和工作系統中使用相同的弱密碼，後果將不堪設想。

Arbačiauskas 強調，安全需要成為一種夥伴關係，網站可以透過更好的設計來培養使用者的安全習慣，例如清晰的規則或是採用通行密鑰等現代身份驗證方式。然而，現實情況是，大多數網站開發者仍然將安全性視為次要考量，優先考慮的是降低使用者進入門檻和提高轉換率。

報告還指出，當前的密碼政策與網路威脅的演進速度嚴重脫節。許多網站仍在使用十年前的密碼要求標準，完全忽視了運算能力的提升和攻擊技術的進步。

重新設計安全機制：從使用者體驗到產業標準的補強

要解決這個問題，需要從多個層面著手。首先，網站開發者必須重新評估他們的優先順序，透過實施視覺指示器、即時提示和嚴格的密碼政策約束，可以有效地培養使用者的安全行為。例如當使用者輸入密碼時，網站可以即時顯示密碼強度指示器，並提供具體的改進建議。這種互動式的設計不僅能提高密碼質量，還能教育使用者什麼樣的密碼才是真正安全的。

其次，推動使用密碼管理器，是彌補網站規範不足的重要策略。密碼管理器不僅能為每個帳戶生成唯一的強密碼，還能有效防止密碼重複使用的問題。

更重要的是，整個產業需要建立統一的安全標準並確保其執行。目前的問題之一是缺乏強制性的規範，導致各網站可以自行決定密碼政策的嚴格程度。建立行業標準並透過認證機制來推動執行，可以有效提升整體的安全水準。

我們必須理解，密碼問題的根源不僅僅是使用者的懶惰，也是整個網路設計文化的失衡。當網站以「流暢體驗」取代「嚴謹安全」時，安全漏洞就被制度化了。這種文化需要從根本上改變，將安全性視為使用者體驗的核心組成部分，而非可有可無的附加功能。

【推薦閱讀】
◆ 多重身份驗證 MFA、密碼已過時？調查揭 92% 受訪資安長正在做「無密碼身份驗證」
◆ iPhone 小偷觀察人們輸入密碼就偷走 200 萬美元！以下是他的下手流程
◆ 企業如何提前佈局「後量子密碼遷移」？專訪數發部數產署署長林俊秀

＊本文開放合作夥伴轉載，參考資料：《Nordsecurity》、《36kr》，圖片來源：Unsplash

（責任編輯：鄒家彥）

Cookie	Duration	Description
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

一組密碼用十個網站導致被駭，或許網站開發也要負點責任？

網站無法做到基本的密碼安全要求

網站安全設計滯後，密碼政策與威脅速度脫節

重新設計安全機制：從使用者體驗到產業標準的補強

TO 會員電子報

HBM 吃掉 30% 資本支出、台積電 N3 產能逼近極限：SemiAnalysis 創辦人揭 AI 狂飆後半導體的真正瓶頸

睡前交辦 AI、醒來驗收成果：矽谷工程師變成「AI 代理主管」，Google、Amazon 都在發生

【AWS 找上 Cerebras】AI 推理晶片戰開打，挑戰 NVIDIA GPU 主導地位

【無人客服神話破滅】盲目裁員導致知識流失，2028 企業將重新僱用人類客服人員？