About Me 留言 葉柏毅 Alex Contact: alrex5401@gmail.com Linkedin: https://www.linkedin.com/in/alrex5401/ 保險業網路電子商務身分驗證之資訊安全作業準則-導覽 https://hackmd.io/@alrex5401/Principle-of-Life-Insurance-Industry-verification-of-online-e-commerce-identity 修正日期: 民國 112 年 09 月 07 日 一、 為協助保險業使用網路身分驗證時,可建立有效的安全驗證機制,以確保減少身分冒用及詐騙情事發生,降低保戶與各公司之機敏資料外洩之風險,特訂定本作業準則。 立法目的說明。 二、 用詞定義及說明: (一) 網路身分驗證:係指於網路應用系統通過特定的身分驗證機制,以確認是否為客戶本人。 (二) 多因子驗證(Multi-Factor Authentication,MFA):係指為強化帳號密碼管理,降低系統相關帳號密碼遭假冒或竊用之風險,提高系統整體安全性並使用二種以上因子驗證方式。 名詞解釋 常見謬誤:密碼+回答國小校名,這類不屬於多因子驗證。 多因子驗證(Multi-Factor Authentication,MFA)的因子(Factors)係指: 你知道什麼 Someting You know:意識(秘密),常見有身分證字號、出生年月日、自訂帳號、Password、過往記憶、圖形鎖、手勢 你有什麼 Someting You Have:物品,常見有ID Card(識別證)、手機、USB、密碼產生器、密碼卡、晶片卡、電腦、行動裝置、憑證載具。 你是什麼 Someting You Are:身體特徵,常見有面相(人臉辨識)、指紋、掌紋、虹膜、視網膜、聲音、簽字(筆跡) 三、 各會員公司電子商務系統辦理採用與用戶約定之靜態密碼方式進行身分驗證,相關規則如下: (一) 應至少8位數。 (二) 應採英數字混合使用,且宜包含大小寫英文字母或符號。 (三) 不得使用客戶之統一編號及身分證字號等顯性資料作為密碼。 (四) 不應訂為相同的英數字、連續英文字或連號數字,預設密碼不在此限。 (五) 密碼與代號/帳號不應相同。 (六) 密碼連續錯誤達五次,各公司應做妥善處理。 (