> For the complete documentation index, see [llms.txt](https://fraudhuntertw.gitbook.io/fraudhuntertw/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://fraudhuntertw.gitbook.io/fraudhuntertw/settings/password.md).

# 密碼安全：一站一密碼、開雙重驗證

![密碼安全：一站一密碼、開雙重驗證](/files/mqd2wNqhsMnwzsfsLgBQ)

帳號被盜，受害的往往不只你自己。歹徒拿到你的 LINE 或 FB，就會冒充你，向你的家人朋友借錢、騙他們收驗證碼。所以把密碼設好、把鎖加上，不只是保護自己，也是保護你信任的人。這一篇給你三件最有用的事：**每站不同密碼、開雙重驗證、用密碼管理器**。

## 一、第一鐵則：每個網站都用「不同」的密碼

這是所有密碼建議裡最重要的一條，原因是一種叫**撞庫攻擊**（credential stuffing）的手法：

> 當 A 網站發生資料外洩，駭客就會把外洩的「帳號＋密碼」用機器人，自動拿去試 B、C、D⋯⋯所有其他網站。只要你在多個網站重複用同一組密碼，一站被攻破，其他站就跟著淪陷。

這不是小規模的事。資安公司 Akamai 統計，光是這類自動登入嘗試，每月就有約 **260 億次**、一年將近 **1,930 億次**；Verizon 的 2025 年度報告也指出，「被竊用的帳密」連兩年都是企業資料外洩最常見的入侵起點（約占 22%）。2025 年甚至出現一份彙整了約 **160 億組**帳密的外流資料庫（多半是過去外洩資料的整理，而非單一次新事件）——重點是：這些帳密就在歹徒手上，隨時拿來撞庫。

只要你「一站一密碼」，就算某個網站外洩，損失也僅止於那一站。**密碼的「獨特性」比「複雜度」更關鍵。**

## 二、什麼才算「強」密碼？（破解兩個過時迷思）

美國國家標準與技術研究院（NIST）在 2025 年定案的最新密碼指引（SP 800-63B），把「強密碼」的共識整個翻新了：

* **長度優先**：純靠密碼登入時，建議至少 15 個字元；與其想複雜符號，不如用一句長的「通行密語」（passphrase）——把幾個不相干的詞串起來，例如 `紅茶-腳踏車-星期二-便利商店`，又長又好記，卻很難被破解。
* **可以用空格、可以貼上**：方便你使用密碼管理器，這是官方鼓勵的做法。
* **長度上限要夠、開了驗證可放寬**：NIST 要求系統至少支援到 64 個字元，讓通行密語有足夠空間；而如果你已為帳號開啟第二道驗證（見下一節），純密碼的最低門檻可放寬到 8 個字元。

兩個該丟掉的舊觀念：

| 過時迷思                                                     | 現代共識                                                                                  |
| -------------------------------------------------------- | ------------------------------------------------------------------------------------- |
| 密碼要「每 90 天定期更換」                                          | NIST 已**不再要求**定期換密碼，只有在「確定外洩」時才需要換。強迫定期換，反而讓人用 `Password1`→`Password2` 這種可預測的微調，更不安全。 |
| 密碼要夾雜大小寫數字符號，例如 $$\textcolor{red}{\textbf{P\@ssw0rd!}}$$ | NIST **不再強制**複雜符號規則。短而複雜的密碼，遠不如長的通行密語難破解。                                             |

## 三、雙重驗證（2FA／兩步驟驗證）：帳號的第二道鎖

密碼再強，也可能因為釣魚或外洩而落入別人手裡。**雙重驗證**的意思是：就算對方拿到你的密碼，還得通過「第二道關卡」才能登入。請務必為重要帳號開啟它。

第二道關卡有好幾種，安全強度差很多：

| 方式                   | 安全性 | 說明                                                                                                 |
| -------------------- | --- | -------------------------------------------------------------------------------------------------- |
| 通行密鑰（passkey）／實體安全金鑰 | 最強  | 唯一能「天生防釣魚」的方式（詳見下方 passkey 一節）                                                                     |
| 驗證器 App 的動態碼（TOTP）   | 次強  | Google Authenticator、Microsoft Authenticator 等，每 30 秒換一組 6 位數，在手機本機產生、不經簡訊傳送，因此不會被換卡盜接（SIM swap）攔截 |
| 簡訊 OTP（手機收驗證碼）       | 最弱  | 可能被「換卡盜接（SIM swap）」攔截，美國 FBI 與 CISA 已不建議用簡訊當第二道關卡                                                  |

> **再弱的雙重驗證，都遠勝於完全沒有。** 如果某個服務只提供簡訊驗證碼，還是要開；但銀行、Email、社群等重要帳號，盡量升級到驗證器 App 或通行密鑰。

換手機時要注意：驗證器 App 的設定要先「轉移」到新手機，否則可能被鎖在帳號外。優先選擇支援雲端備份／跨裝置同步的驗證器（如 Microsoft Authenticator、Google Authenticator），換機前先完成轉移。

## 四、紅線：驗證碼（OTP）絕不給任何人

這是與詐騙最直接相關的一條，請當成鐵律：

> **手機收到的一次性驗證碼（OTP），是進入你帳號的最後一道鎖。任何人跟你要驗證碼，都是詐騙——連自稱是客服、銀行、警察，甚至自稱是你朋友本人，都不行。**

台灣最常見的盜帳號手法就是這樣：歹徒先盜了你某個朋友的 LINE，再用那個帳號傳訊息給你——「幫我線上投票，幫我收一下簡訊驗證碼」「我的 LINE 要重新登入，驗證碼傳到你手機，唸給我」。你一報出去，帳號立刻被盜，接著歹徒再用「你」的身分去騙你其他的朋友。LINE 官方也明講：**真正的登入頁面，絕不會要你把簡訊驗證碼給別人。**

要特別小心 AI 帶來的新威脅：詐騙集團已能用 AI 偽造親友的「聲音」甚至「視訊畫面」來向你要驗證碼或借錢。所以就算是「聽起來、看起來像本人」的語音或視訊，只要開口要驗證碼或要錢，都要掛掉、改用你原本就有的電話號碼回撥確認（見〔[釣魚簡訊 / 假銀行騙 OTP](/fraudhuntertw/cases/phishing-otp.md)〕、〔[假客服](/fraudhuntertw/cases/fake-cs.md)〕）。

## 五、passkey 通行密鑰：更安全，還更方便

passkey（通行密鑰）是正在普及的「免密碼登入」方式，登入時不再打密碼，而是用手機或電腦的 **Face ID、指紋或螢幕鎖 PIN** 來確認是你本人。

* 原理：你的裝置裡會產生一對鑰匙，私鑰永遠鎖在裝置的安全晶片裡、絕不外傳，只把公鑰交給網站。
* 為什麼天生防釣魚：passkey 會和「網站的網域」綁定，假網站的網域對不上，就根本無法使用——而且過程中**沒有任何可以被騙走或外洩的密碼與驗證碼**。
* 支援現況：Apple（iPhone、Mac）、Google（Android、Chrome，2023 年 10 月起已是 Google 帳號的預設登入方式）、Microsoft（Windows）都已支援，超過 95% 的新手機都能用。

一個配套提醒：passkey 會透過 iCloud 鑰匙圈或 Google 帳號同步，換手機時能一起帶過去；但為防萬一（裝置遺失、跨不同生態系），建議仍保留一組「強密碼＋第二道驗證」當後備，並收好平台給的還原碼。

## 六、用密碼管理器，把「記不住」變成優點

「每站不同、又要夠長」的密碼，當然不可能用腦袋記。這就是**密碼管理器**的工作：它幫你產生、保管每個網站不同的高強度密碼，登入時自動填入，你只要記住一個「主密碼」就好。

* **內建、免費的選擇**（門檻最低，先用這個就好）：iPhone / Mac 用內建的「密碼」App（iCloud 鑰匙圈），Android / Chrome 用「Google 密碼管理工具」，瀏覽器內建的也可以。
* **獨立、跨平台的選擇**：Bitwarden（免費、開源）、1Password 等，手機電腦都能同步。

兩個重點：

1. **主密碼要最強、絕不重複，最好再加上雙重驗證。** 它是打開整個保險箱的鑰匙，一旦外洩等於全盤失守。
2. **自動填入能幫你擋釣魚。** 密碼管理器是用「精確的網域比對」決定要不要幫你填——遇到網址只差一個字母的假網站，它就不會自動填。所以反過來說：**平常會自動填入的網站，這次突然不填、要你手動貼，這本身就是「可能是假網站」的紅旗。**（與〔[網址 / 連結識別](/fraudhuntertw/identify/url.md)〕一起看效果最好。）不過自動填入是輔助、不是萬能，仍要養成「只從官方 App 或自己存的書籤進入」的習慣。

> 常有人擔心「密碼都放一起，被破不就全完了？」——其實只要主密碼夠強並加上雙重驗證，「集中管理＋每站不同密碼」的整體風險，遠低於「到處重複使用同一組弱密碼」。Bitwarden、1Password 至今都沒有發生過使用者保險庫被攻破的事件。

## 七、健檢：查自己的帳密外洩了沒

* **Have I Been Pwned**（`haveibeenpwned.com`）：免費，輸入 Email 就能查你的帳號出現在哪些已知外洩事件裡，也能訂閱「日後外洩自動通知」。它查密碼時採用隱私保護設計（你的密碼在自己裝置上算成雜湊、只送出前幾碼比對），網站看不到你的完整密碼。這個資料庫收錄了數十億筆外洩帳號、超過 10 億組曾外洩的密碼，並持續匯入新的竊密紀錄。
* **手機與瀏覽器內建的外洩警示**：iPhone 的「密碼」App、Google / Chrome、Edge 都會主動比對你存的密碼是否出現在外洩清單，命中時跳通知提醒你更換。2025 年資料外洩事件創歷史新高，看到警示的機率很高，**看到就立刻去把那個網站的密碼換掉。**
* **台灣在地查證**：遇到可疑的網址、電話、LINE ID，可上 **165 全民防騙網** 查詢，或直撥 `165` 反詐騙專線（見〈[第 6 篇：工具與求助資源](/fraudhuntertw/resources/06-resources.md)〉）。

## 八、別忽略的三個破口

* **「安全提示問題」常是最弱的一環。** 「母親的姓氏」「第一隻寵物的名字」這類問題，答案往往能從你的社群或外洩個資猜到。建議關閉，或乾脆亂填一組只有你知道、並存進密碼管理器的「假答案」。
* **備援 Email 是「總鑰匙」。** 你所有帳號的「忘記密碼」都會寄到備援信箱，它一旦被攻破，等於所有帳號都能被重設。請給它最強的密碼＋雙重驗證，並收好各平台的還原碼。
* **電信端也要設一道鎖。** 為了防「換卡盜接（SIM swap）」，可主動聯絡你的電信業者，要求「變更門號 / 補辦 SIM 卡時須本人臨櫃，或設定一組密碼 / PIN 才能辦理」。

## 九、行動清單：照優先順序做，不用一次到位

一次全部改完會累到放棄。照重要性排，先顧最關鍵的帳號：

1. **Email**（救回所有帳號的總鑰匙）→ 2. **銀行 / 行動支付** → 3. **LINE / Facebook 等社群** → 4. **雲端硬碟**。

每一個都做這三件事：

* 換成「這一站專用、夠長」的新密碼（交給密碼管理器產生與保管）。
* 開啟雙重驗證，優先選 passkey 或驗證器 App。
* 用上面的工具跑一次外洩檢查，命中就立刻換。

> 萬一帳號已經被盜、或有人冒用你的名義向親友借錢，請立刻改密碼、開雙重驗證、登出所有裝置，並發訊息提醒親友「我帳號被盜，勿匯款」。完整止血步驟見〈[假冒親友借錢 / 帳號被盜](/fraudhuntertw/cases/impersonate-friend.md)〉與〈[第 5 篇：止血 SOP](/fraudhuntertw/victim/05-victim.md)〉。

***

## 密碼安全速查（背起來）

> 1. **一站一密碼**：每個網站都不一樣，一站外洩不波及其他站。
> 2. **長比複雜重要**：用一句長的通行密語，不用硬塞符號，也不必定期換。
> 3. **重要帳號開雙重驗證**：passkey ＞ 驗證器 App ＞ 簡訊；再弱都勝過沒有。
> 4. **驗證碼（OTP）絕不給任何人**：客服、銀行、警察、連「朋友本人」都不行。
> 5. **用密碼管理器**：先用手機 / 瀏覽器內建的免費版就好；主密碼設到最強。
> 6. **定期健檢**：用 Have I Been Pwned 或內建外洩警示查，命中就馬上換。
>
> 先把 Email 顧好，它是你所有帳號的總鑰匙。


---

# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.

## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://fraudhuntertw.gitbook.io/fraudhuntertw/settings/password.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.