系統密碼管理大指南：告別忘記密碼的困擾

我密碼管理不該是 NPO 夥伴的焦慮來源

在社福第一線工作的夥伴們，每天都要在個案訪視、方案評估與行政核銷之間切換。我們深知每到月底結帳或是核銷旺季，最讓人崩潰的往往不是工作量，而是面對登入畫面時，怎麼也想不起來的那組密碼。

我看過許多夥伴為了方便，在電腦螢幕邊框貼滿了便利貼，或是在筆記本裡記下密密麻麻的帳號。然而，當緊急需要調閱個案資料時，卻還是陷入找不到正確密碼的焦慮中。這不是夥伴的問題，而是我們需要更聰明、更具心理安全感的方法，把大家從「密碼地獄」中解放出來。

為什麼「一組密碼走天下」是會有潛在風險？

許多 NPO 夥伴為了節省腦力，習慣在所有平台共用同一組密碼，或使用生日、電話等容易被社交工程（Social Engineering）猜出的資訊。但根據資安權威數據（HHS/Verizon DBIR）顯示，高達 86% 針對組織網際網路系統（如電子郵件或捐款平台）的攻擊，都是透過盜取憑證來達成的。

• 「撞庫攻擊」的威脅： 駭客會利用小型網站外洩的密碼，自動化地嘗試登入您的網路銀行或 CRM 系統。
• 資源責信（Accountability）的崩潰： NPO 的命脈在於信任。一旦捐款人的個資或個案的敏感隱私紀錄（PII）外洩，對機構造成的社會影響力打擊通常是毀滅性的。身為第一線工作者，守護密碼其實就是在履行對個案的「注意義務」（Duty of care）。
• MFA 疲勞攻擊： 根據統計，約 14% 的資安事件涉及「MFA 疲勞（Push Bombing）」，即駭客透過連續發送驗證請求來轟炸使用者，直到夥伴因為不耐煩或焦慮而點下同意。

解決方案一：好記又難破解的「一句口訣」原則

想要擁有強大的密碼，關鍵不在於隨機亂碼，而是建立一套「自己記得住、駭客猜不透」的系統化邏輯。

1. 打造記憶金句： 選擇一句對您的社福使命有意義、但外人難以聯想的句子。
   • 範例：守護孩子們的笑容到永遠
2. 金句變裝術： 利用這句話的拼音首字母，並加上大小寫變化、年度與符號。
   • 基本轉換：SHHZMDXMDYY (首字母)
   • 規則加成：sHhzmdxmdYy25! (取首字母、固定第二位大寫、加上 2025 的末二位、加上驚嘆號)
3. 網站獨特印記： 為了實現「核心相同、各站唯一」，請在基礎密碼前後加上該網站的縮寫。

解決方案二：用「多重驗證 (MFA)」幫帳號加道鎖

密碼設定得再好，仍有被竊取的風險。MFA 是透過結合不同性質的因素來確保安全，其三大支柱為：

1. 你所知道的（Knowledge）： 密碼或 PIN 碼。
2. 你所擁有的（Possession）： 手機、實體安全金鑰（FIDO2）。
3. 你所具備的（Inherence）： 指紋、臉部辨識等生物特徵。

解決方案三：萬一手機丟了怎麼辦？帳號復原的「定心丸」

「萬一手機壞了，我不就永遠進不去系統？」這是夥伴最常見的擔憂。其實，只要做好以下準備，這不再是問題：

• 備用碼 (Recovery Codes) 管理： 當您設定 MFA 時，系統會提供一組 4 到 20 個不等的備用碼。請記住，它們是單次使用 (Single-use) 的救命符。請務必在設定時就下載並儲存於安全處（如加密檔案或實體保險箱）。
• 多重備援設定： 不要只依賴單一手機 App。建議至少設定兩個以上的驗證方式（例如一個 App 加上一個備援電話或第二把硬體金鑰）。

常見問題 (FAQ)

延伸閱讀

• 密碼老是記不住？風傳媒分享密碼設定訣竅
• 密碼老是記不住、萬年用同一組？資安專家教你「一句口訣」設定法
• 卡巴斯基：如何建立強大的密碼？
• MFA 與 2FA 有什麼不同？(MFA vs 2FA)
• 2FA 與 MFA 的差異比較 (2FA vs MFA)
• 2026 年最佳線上驗證器 App 推薦 (Authenticator Apps)