調查局三等申論題 108年 [資訊科學組] 資訊安全實務

第四題

假設您曾經註冊過一個網站的會員，但是忘了密碼，點選忘記密碼的功能後，該網站將您本來的密碼以明文方式寄出。請說明該網站可能存在那些安全問題？並提出可行的改善措施。（15 分）

📝 此題為申論題

思路引導 VIP

看到「明文寄出密碼」，立刻聯想到兩大資安致命傷：後端資料庫未落實「單向雜湊（Hash）」儲存，以及使用不安全的管道（Email）傳遞敏感憑證。解題應依循 NIST SP 800-63B 指引，分「儲存面」與「流程面」點出漏洞，並提出標準的「密碼重設權杖（Token）SOP」作為改善方案。

🤖

AI 詳解 AI 專屬家教

【破題】網站能將原有密碼以明文寄出，暴露出該系統在「身分鑑別與憑證管理」上存在重大設計瑕疵，嚴重違反 ISO 27001 機密性原則與 NIST SP 800-63B 數位身分指引。此現象代表系統未採用不可逆的加密技術儲存密碼，且重設流程極易遭到攔截與濫用。【論述】

▼ 還有更多解析內容