首先,新核发12位英数字随机乱码预设密码,再者,企业需输入第二验证因子税籍代号以强制改密码。同时,系统将每90天提醒、建议更改新密码;第四,企业自行设定的密码也需具一定复杂度。至于每次登入是否都需双因子认证,官员指出,会再研议。
媒体报导,有白帽骇客反映,使用财政部提供的营利事业预设密码,由于预设密码皆为同一组、而部分企业后续未变更,因此可凭同组密码登入电子发票整合服务平台,导致使用电子发票的营利事业或国家单位,有采购资讯外泄的资安疑虑。
财政部财政资讯中心今天表示,整合服务平台营利事业密码弱点已改善完成,有关报导中所述国家单位开立的电子发票资料,主要为行政支出及纪念品项目,无涉国防采购。
财政资讯中心说明,目前营利事业大多采工商凭证注册后,自行设定密码,登入整合服务平台,仅部分营利事业使用整合服务平台核发的预设密码登入。
为强化系统使用安全性,以旧预设密码登入后,即强制变更密码,并应输入第二因子,才得使用整合服务平台服务。
财政资讯中心进一步指出,整合服务平台新核发的营利事业预设密码,采12位英数字随机乱码,首次登入后,须输入第二因子,强制变更密码。
所谓「第二因子」,财政资讯中心官员表示,就是双重认证的意思,使用者需输入第二个认证因子税籍代号,让系统审核。目前,使用12位乱码预设密码登入后,需输进第二因子,以强制改密码,至于未来每次登入是否都需双因子认证,还需再行研议。
官员指出,未来料会参考银行作法,系统每90天提醒、建议更改新密码;同时,营利事业自行设定的密码要具一定复杂度,需符合相关设定条件。
同时,财政资讯中心表示,营利事业登入整合服务平台后,即显示前次登入纪录,并得选择以电子邮件通知该次登入纪录,方便营利事业确认整合服务平台使用情形。
财政资讯中心指出,整合服务平台已完成改善密码弱点,呼吁营利事业尽快登入修改预设密码,并应符合强度密码规范及妥善保管密码。
财政资讯中心表示,整合服务平台皆有保存帐号登入纪录,请勿任意测试登入其他公司行号帐号,导致该帐号停权,而有触犯「无故入侵他人电脑」罪的风险。
此外,数位部长唐凤今天上午出席活动受访表示,数位部资安署第一时间接获通报后,就有跟财政部联防,也有督促财政部进行资安通报工作,已经修补完成,这过程中也感谢民间白帽骇客朋友守望相助。(中央社)
爆料信箱:news@nextapple.com
★加入《壹苹》Line,和我们做好友!
★下载《壹苹新闻网》APP
★Facebook 按赞追踪