網站密碼安全實務：從加密儲存到多因素驗證的完整防護

密碼就像你家的門鎖——但很多企業連鎖都沒裝好

想像你開了一家店，花了大筆預算裝潢、進貨、打廣告，卻在門口裝了一把用迴紋針就能撬開的鎖。聽起來荒謬？但這正是許多企業網站對待密碼安全的方式——會員系統做得漂亮，密碼卻用明文存在資料庫裡。

根據資安研究統計，超過 80% 的資料外洩事件與密碼遭竊有關。對於擁有會員系統的企業網站來說，密碼安全不是「加分項目」，而是最基本的防線。一旦密碼外洩，損失的不只是資料，更是客戶的信任——而信任一旦失去，要花十倍的力氣才能挽回。

本文將帶你從最基礎的密碼儲存原理開始，逐步了解雜湊演算法、加鹽機制、多因素驗證到密碼政策設計，為你的企業網站建立完整的密碼安全防護。

密碼儲存的三種方式：從危險到安全

企業網站處理密碼的方式，大致可以分為三個層級。了解這三種方式的差異，是建立密碼安全的第一步：

明文儲存是最致命的錯誤。這意味著任何能接觸資料庫的人（包括內部員工、維護人員或駭客）都能直接看到每一個使用者的密碼。更可怕的是，許多使用者會在不同網站使用相同密碼——你的資料庫外洩，等於連帶洩露了使用者在其他平台的帳戶。

簡單加密看似安全，實際上只要取得加密金鑰，所有密碼都能被還原。這就像把保險箱的鑰匙藏在門口的花盆下面——看起來有保護，但不堪一擊。

雜湊加鹽才是目前業界公認的最佳實務。雜湊是一種單向運算，把密碼轉換成固定長度的亂碼，而且無法反推回原始密碼。加鹽則是在雜湊前加入一段隨機字串，讓同樣的密碼也會產生不同的雜湊值，有效防止彩虹表攻擊。

如果你正在規劃會員系統，務必確認開發團隊採用安全的密碼儲存方式。更多關於會員系統的安全架構，可以參考網站資安防護指南。

雜湊演算法怎麼選：不是每種都適合密碼

並非所有雜湊演算法都適合用來儲存密碼。選錯演算法，等於用紙箱當金庫——形式上有保護，實質上毫無作用。

為什麼「速度快」反而不安全？ 因為駭客在暴力破解時，速度越快就能在越短的時間內嘗試越多組合。MD5 每秒可以運算數十億次，等於駭客可以在幾秒內嘗試所有常見密碼。而 bcrypt 刻意設計成「慢速」的演算法——每次運算需要耗費更多時間和資源，讓暴力破解變得不切實際。

Argon2 是目前國際密碼雜湊競賽的冠軍演算法，除了運算速度可調整之外，還能指定記憶體用量，讓專用破解硬體也難以有效運作。對於新建置的會員系統，Argon2 是最推薦的選擇。

多因素驗證：為你的帳戶加裝第二道鎖

即使密碼儲存做到滿分，使用者本身的密碼習慣仍然是最大的弱點。根據調查，超過 60% 的使用者會在多個網站重複使用相同密碼。這時候，**多因素驗證（MFA）**就是你最可靠的第二道防線。

多因素驗證的原理很簡單：除了「你知道的東西」（密碼）之外，再加上至少一個額外的驗證因素。這些因素通常分為三類：

• 知識因素（Something you know）：密碼、PIN 碼、安全問題
• 持有因素（Something you have）：手機簡訊驗證碼、驗證器 App、實體安全金鑰
• 生物因素（Something you are）：指紋、臉部辨識、虹膜掃描

對企業網站來說，最常見且實用的 MFA 方案包括：

1. 簡訊驗證碼（SMS OTP）：最普及但安全性較低，可能遭受 SIM 卡劫持攻擊
2. TOTP 驗證器 App：如 Google Authenticator，安全性高且不依賴電信網路
3. 電子郵件驗證碼：適合低風險操作，但不適合作為主要 MFA 方案
4. WebAuthn / FIDO2 安全金鑰：最高安全等級，適合管理者帳戶

重點：即使只啟用最基本的 MFA，也能阻擋 99% 以上的自動化攻擊。 這是投資報酬率最高的安全措施之一。

想進一步了解網站整體資安架構，推薦閱讀網站資安稽核檢查清單。

密碼政策設計：平衡安全與使用體驗

很多企業在設計密碼政策時走向兩個極端——要嘛完全不設限（任何密碼都接受），要嘛過度嚴格（讓使用者寧可寫在便利貼上）。好的密碼政策應該在安全性和使用者體驗之間找到平衡。

2026 年的密碼政策最佳實務

根據 NIST（美國國家標準暨技術研究院）的最新建議，現代密碼政策應該：

• 最低長度 8 字元，建議 12 字元以上
• 不強制定期更換密碼（除非有洩漏跡象）——頻繁更換反而讓使用者選擇更弱的密碼
• 不強制特殊字元組合規則——「要求大小寫 + 數字 + 符號」的舊規則已被證實弊大於利
• 比對常見弱密碼清單，禁止使用 "password123"、"qwerty" 等已知弱密碼
• 支援密碼管理器，允許貼上密碼，不限制密碼長度上限
• 提供密碼強度即時回饋，幫助使用者選擇更好的密碼

常見的密碼攻擊手法與防範

了解駭客如何攻擊密碼，才能針對性地建立防禦。以下是企業網站最常遭遇的五種密碼攻擊：

1. 暴力破解攻擊（Brute Force）

駭客用程式自動嘗試所有可能的密碼組合。一個 6 位純數字密碼，只需要 100 萬次嘗試就能破解。

防範方式：登入失敗次數限制、帳戶鎖定機制、驗證碼（CAPTCHA）、慢速雜湊演算法。

2. 字典攻擊（Dictionary Attack）

使用預先準備的常見密碼清單逐一嘗試。這些清單包含數百萬個從歷次資料外洩中收集的密碼。

防範方式：禁止使用常見弱密碼、強制最低密碼長度、密碼強度檢查。

3. 撞庫攻擊（Credential Stuffing）

利用從其他網站外洩的帳號密碼，在你的網站上批量嘗試登入。由於許多使用者會重複使用密碼，這種攻擊的成功率極高。

防範方式：多因素驗證是最有效的防線、異常登入偵測、IP 速率限制。

4. 彩虹表攻擊（Rainbow Table）

預先計算大量密碼的雜湊值建成查詢表，直接用雜湊值反查密碼。

防範方式：加鹽（Salt）機制讓彩虹表完全失效——每個密碼的鹽值不同，預計算變得不可能。

5. 社交工程（Social Engineering）

不是攻擊技術，而是攻擊人。透過釣魚信件、假網站或電話詐騙，誘騙使用者主動交出密碼。

防範方式：員工資安教育訓練、釣魚信件模擬測試、MFA（即使密碼被騙走，沒有第二因素也無法登入）。

會員系統的密碼安全實務清單

對於擁有會員功能的企業網站，以下是一份完整的密碼安全檢查清單。無論你是正在建置新系統還是檢視現有系統，都可以逐項確認：

密碼儲存

• 使用 bcrypt 或 Argon2 雜湊演算法
• 每個密碼使用獨立的隨機鹽值
• 絕不記錄或存取明文密碼
• 資料庫存取權限最小化原則

密碼傳輸

• 全站強制 HTTPS 加密傳輸
• 登入表單使用 POST 方法，密碼不出現在 URL 中
• 設定 HSTS 標頭防止降級攻擊

登入保護

• 登入失敗次數限制（建議 5 次後鎖定 15 分鐘）
• 驗證碼（CAPTCHA）防止自動化攻擊
• 異常登入地點或裝置通知
• 提供 MFA 選項（至少支援 TOTP）

密碼重設

• 重設連結設定有效期限（建議 1 小時內）
• 重設連結只能使用一次
• 重設後自動登出所有已登入的 Session
• 不在錯誤訊息中透露帳號是否存在

如果你正在規劃新的會員系統，建議從一開始就把這些安全機制納入開發需求。元伸科技的客製化網站開發服務能根據你的業務需求，建立符合資安標準的會員系統架構。

密碼的未來：無密碼驗證趨勢

密碼的本質問題在於——它依賴人類的記憶力，而人類的記憶力是不可靠的。因此，業界正在積極推動**無密碼驗證（Passwordless Authentication）**的趨勢。

Passkey（通行金鑰） 是目前最受矚目的方案。它使用裝置內建的生物辨識（指紋或臉部辨識）取代傳統密碼，背後基於 FIDO2/WebAuthn 標準，私鑰儲存在使用者的裝置上，伺服器端不儲存任何可被竊取的秘密。

對企業網站來說，現階段的建議是：

1. 立即實施：安全的密碼儲存 + MFA 是當務之急
2. 中期規劃：評估導入 Passkey 作為替代登入方式
3. 長期趨勢：逐步過渡到以 Passkey 為主的無密碼體驗

無論技術如何演進，密碼安全的核心原則不會改變——保護使用者的身分驗證資訊，是網站營運者最基本的責任。

結語：密碼安全是企業信譽的基石

密碼安全看似技術細節，實則關乎企業的核心信譽。一次密碼外洩事件造成的損失——客戶流失、品牌受損、法律責任——遠遠超過建置安全系統的成本。

現在就開始行動：檢查你的網站是否使用安全的密碼儲存方式、是否提供多因素驗證、密碼政策是否符合現代標準。如果你不確定現有系統的安全狀態，聯繫元伸科技進行專業的資安評估，讓我們協助你為網站建立堅實的密碼安全防線。

更多企業網站安全相關的實務建議，推薦閱讀網站 API 安全防護和DNS 安全防護指南，全面提升你的網站資安防護等級。想深入了解 客製化網頁設計 的完整服務範圍，歡迎前往元伸科技官網。