[新聞]如何擋下網攻不破防？華碩資安長曝粗暴解

作者pl132 (pl132)

看板Tech_Job

標題[新聞]如何擋下網攻不破防？華碩資安長曝粗暴解

時間Sat Oct 18 00:17:25 2025

如何擋下網攻不破防？華碩資安長曝粗暴解方：強制推行15碼密碼，駭客就會「累到放手」？ https://www.bnext.com.tw/article/84769/asus-cyber-attack 隨著AI、量子技術的發展，資安威脅也隨之不斷進化。根據Check Point Software Technologies的威脅情報部門數據顯示，2025年第2季全球每週遭受網路攻擊的次數平均為1,984次，和2024年同期相比增加21%，與兩年前相比更成長了58%。其中，台灣的網路攻擊情況特別嚴重，平均每週遭到4,055次攻擊，位居亞太地區之首。而台灣受攻擊次數最多的前三大產業，依序為硬體供應商（平均每周8,139次）、政府與軍事機構（5,042次）和製造業（4,983次）。面對日益升級的資安風險，華碩資安長金慶柏指出，早期駭客只是單純為了炫技，到現在演變成全球化、生態系化的「勒索即服務」的犯罪模式，攻擊者已將獲利模式變得更精準化、規模化。資安防禦如今已不再是單純的IT技術問題，而是攸關企業生存與品牌信任的戰略議題。而面對當前的資安威脅，華碩將其歸納為兩大類：威脅一：利用AI大量產出釣魚訊息如今，駭客不再需要花費大量時間手寫惡意程式碼或設計社交工程郵件。透過生成式AI，駭客就能大規模的產出語意完美，且高度客製化的郵件或訊息，大大提升了員工被釣魚或社交工程攻擊成功的機率。此外，透過深度偽造（Deepfake）的影像與聲音，詐騙集團也能模擬高階主管的聲音、外貌，發動「變臉詐騙」，直接鎖定財務或供應鏈人員，造成難以追回的巨大財損。威脅二：針對AI系統本身的攻擊當AI模型成為企業的核心資產（例如內部知識庫LLM或智慧生產系統），駭客的目標也開始轉向模型本身。例如透過惡意輸入，讓AI模型做出非預期的行為，甚至竊取訓練數據或機密輸出。再加上近年AI代理人的興起，只要這些能自主執行任務的AI體系被滲透，潛在的破壞力更是不容小覷。簡單粗暴但有效的防範招式：密碼升級至15碼隨著生成式AI與供應鏈攻擊日益複雜，金慶柏認為，現在企業資安遇到最困難的挑戰，其實是「人與文化」。「企業防護做得再好，可是只要有一個員工粗心大意，就可能把公司幾十年辛苦的防範，全部化為烏有。」金慶柏強調，再複雜的技術防禦，其實都可以靠預算解決，但人性的疏忽卻可能讓資安防線瞬間瓦解。因此，華碩認為，資安工作的核心在於文化轉變，必須建立起全公司「保密防駭，人人有責」的集體意識。為了讓資安防護深植於企業DNA，華碩採取了各種不同的策略，其中最讓人意想不到的，就是強制推行15碼的高強度密碼。金慶柏指出，多數企業會在IT系統端下功夫，卻忽略了員工的個人裝置與習慣。然而，這小小的一個舉動，卻是一個「便宜」卻又非常有效的方法。金慶柏強調，只要密碼從4碼升級到15碼的安全強度，就夠確保駭客在現有技術下需要花上百年才能成功破解，極大地提升了資料的安全性。「就算你把密碼貼在電腦底下，我們不鼓勵，但也會比單純4碼密碼安全的多，」金慶柏笑著補充，「畢竟能進到公司、辦公室偷取機密的人，就已經大大減少了。」另外，華碩的資安長也親自扮演「資安傳教士」的角色，透過持續性的教育、訓練和年度的資安週活動，不斷向全體員工宣導和傳遞資安意識，確保這種「人人有責」的防駭觀念，能夠從上到下，真正成為華碩企業文化的一部分。華碩怎麼應對AI帶來的資安挑戰？要在AI時代安全地利用AI工具，除了公司內部資安文化的建立，一個由上而下且持續優化的治理框架更是關鍵。「沒有任何企業能保證永遠不發生資安事故，」金慶柏強調，企業能夠不支付贖金的「底氣」，就在於是否具備強大的數位韌性，而這樣的韌性，則必須具備完善的災害備援機制、嚴謹的資料分級與保密，以及能夠快速恢復營運的系統能力。策略一：災害備援機制備份的最終目的，是確保在數據遭到加密或破壞後，企業能隨時「倒帶」回去，以最快的速度以備份的基礎重建系統並恢復資料。因此在資料保護上，金慶柏建議實施「3-2-1」的備援機制，也就是企業的關鍵數據「至少要有三份副本，儲存在兩種不同的儲存媒介上，其中一份必須存放在異地或雲端」，這樣就能應對各種極端災害。策略二：嚴謹的資料分級與保密面對AI時代的來臨，華碩在2024年成立了由董事長親自指示跨部門的GenAI委員會，負責統籌全公司的AI技能培訓，更設立了標準化的資安審查流程，要求任何部門導入第三方AI 服務都必須通過評估，從源頭保障企業機密。最關鍵的是，這項政策採用PDCA（計畫-執行-檢查-行動）循環，並嚴格執行「紅線禁區」，明確禁止將「機密」及以上等級的數據用於未經核可的公開AI模型，確保企業核心數據安全。策略三：能夠快速恢復營運的系統能力在攻擊發生前，企業內部也應設有應對資安事故的標準作業流程。這套SOP必須明確紀載事故發生後，所有部門的職責和具體應對行動。這樣在被攻擊後，團隊也能不手忙腳亂地一步一步照流程處理。同時，華碩也加入了FIRST等全球資安社群，確保內部團隊能隨時與國際領先者同步，不斷提升資安應變的成熟度。「資安防禦的最終目的，是讓企業具備在風險中持續營運的能力。」金慶柏最後強調，只有將資安從技術任務提升為全員文化，並將其視為設計與營運的核心價值，企業才能真正的實現永續經營。駭客應該都直接攻擊企業的資料庫在反手洩漏出去吧台灣企業比較危險吧,很多都沒再管這一塊 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 123.195.194.185 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/Tech_Job/M.1760717847.A.45E.html

→ iverson0991: 金慶柏笑著補充，「畢竟能進到公司、 114.43.101.93 10/18 01:12

→ iverson0991: 辦公室偷取機密的人，就已經大大減 114.43.101.93 10/18 01:12

→ iverson0991: 少了。」 114.43.101.93 10/18 01:12

推 cancelpc: 太長密碼，反而一堆人都用紙抄下 111.249.180.48 10/18 02:48

→ cancelpc: 反人性的資安解決方式，最容易讓人犯低 111.249.180.48 10/18 02:48

→ cancelpc: 級錯 111.249.180.48 10/18 02:49

推 ptta: 可憐啊 114.44.235.92 10/18 09:01

→ Bombardier: FIDO 成員可以回家吃自己了 36.229.28.14 10/18 10:15

推 centra: 這不行因為人記不住這麼長的密碼114.137.202.216 10/18 10:27

→ centra: 反而讓很多人把密碼寫在紙上避免忘記114.137.202.216 10/18 10:28

推 kanpfer: 企業被勒索從來不是密碼太短 27.52.7.129 10/18 11:06

推 onnie: 長密碼蠻有用的，但是密碼規則爛 122.121.80.77 10/18 11:12

推 onnie: 用多個隨機單詞拼再一起 122.121.80.77 10/18 11:15

→ onnie: 比短密碼但是很多規則還難破解 122.121.80.77 10/18 11:15

→ onnie: 多個單子對人類來講也好記憶 122.121.80.77 10/18 11:15

推 mark850121: 伺服器事業部總經理難怪華碩的伺服 114.37.159.238 10/18 11:22

→ mark850121: 器... 114.37.159.238 10/18 11:22

噓 Zoanthropy: 蛤這麼過時的方法我還以為是拔網路 42.73.52.220 10/18 11:42

→ Zoanthropy: 線 42.73.52.220 10/18 11:42

→ rogergon: 多階段認證這麼好用的東西不用111.250.127.180 10/18 12:01

推 kkes0001: 可悲推文只看標題，甚至一樓都複製重點 223.137.14.35 10/18 12:04

→ kkes0001: 回答了還是看不到，人家早回答抄紙上的 223.137.14.35 10/18 12:04

→ kkes0001: 問題了 223.137.14.35 10/18 12:04

→ kevinmeng2: 這主管…呵呵，鬼故事很多 219.70.152.87 10/18 12:15

推 gtjs45: 豪厲害喔不愧是資安長 223.140.66.216 10/18 13:34

推 shyshyan: 我還以為打中文注音輸入英數就是最暴力 111.246.189.79 10/18 15:00

→ shyshyan: 的密碼 111.246.189.79 10/18 15:00

推 justdoit: 用注音打,好記又可以長,前提是要有鍵盤 1.163.83.46 10/18 16:50

→ justdoit: 用手機的就有要鍵盤注音對照表 1.163.83.46 10/18 16:51

推 ChungLi5566: 密碼越長越容易撞庫攻擊 61.57.105.8 10/18 17:14

→ ChungLi5566: 因為根本記不起來都同一組一直用 61.57.105.8 10/18 17:14

推 gmoz: 也沒錯啦... 比起難搞複雜長度長比較方便 111.248.195.21 10/18 19:28

→ gmoz: 也比較安全 111.248.195.21 10/18 19:29

推 lt921205: 整個資料庫被攻破密碼長還有用？ 60.250.203.250 10/18 19:44

推 orange0319: 哇，資安長好棒喔（死魚眼 114.136.234.64 10/18 19:50

→ ah7675: 看完完整內容覺得他說的其實沒什麼問題， 1.164.15.28 10/18 20:09

→ ah7675: 也符合實務。記者標題殺人，看推文就知道 1.164.15.28 10/18 20:09

→ ah7675: 內文根本沒看。 1.164.15.28 10/18 20:09

→ dildoe: 意思原先的只用密碼認證然密碼複雜度不佳?118.168.176.120 10/18 20:56

→ dildoe: passwordless,password manager都是花拳秀118.168.176.120 10/18 20:57

→ dildoe: 腿？118.168.176.120 10/18 20:57

推 dream1124: 四碼是pin code還是密碼？我想是密碼 36.227.198.33 10/18 21:14

→ dream1124: 那樣的話說很遜也沒錯啊。都2025年了， 36.227.198.33 10/18 21:15

→ dream1124: 才在禁止這麼短的密碼，而且為這種事 36.227.198.33 10/18 21:15

→ dream1124: 買行銷宣傳那也太奇怪了吧~ 36.227.198.33 10/18 21:16

推 maxman77: 斷網就好簡單～ 111.240.142.51 10/18 21:16

→ dream1124: 同時使用啟用特徵辨識並不定期要求MFA 36.227.198.33 10/18 21:18

→ dream1124: 然後人人發實體金鑰這樣再來說吧 36.227.198.33 10/18 21:18

→ dream1124: 或者門禁與資通訊身份認證系統完全整合 36.227.198.33 10/18 21:19

→ dream1124: 不要拿門禁卡又要密碼還要裝認證器。 36.227.198.33 10/18 21:20

→ dream1124: 做到這些再出來發宣傳稿還差不多 36.227.198.33 10/18 21:21

→ ericthree: 我有更好的方案 20碼! 220.129.135.12 10/18 21:39

推 solothurn: 一樓引用的算回答? 原來資安只需防外 1.162.191.191 10/18 23:46

→ solothurn: 人 1.162.191.191 10/18 23:46

推 mathrew: 一看就標題殺人 36.230.53.88 10/19 07:40

推 silver5566: 你只要不要限制要大小寫符號等等的，118.171.108.148 10/19 09:11

→ silver5566: 人很容易記住15個字的密碼，你可以用118.171.108.148 10/19 09:11

→ silver5566: 生日、簡單英文等等拼湊118.171.108.148 10/19 09:11

推 wulouise: 沒有萬用解，但是admin acc低強度密碼被 223.137.226.94 10/19 11:27

→ wulouise: 破很常見吧 223.137.226.94 10/19 11:27

推 onnie: 密碼太常見或是太短容易被md5撞庫111.242.141.253 10/19 12:02

→ onnie: 太長根本不是問題111.242.141.253 10/19 12:02

→ onnie: 同一組一直用短密碼也是一直用啊111.242.141.253 10/19 12:02

噓 pttano: 還好不是金融密碼,用15碼密碼保護我5碼存 42.71.82.21 10/19 13:39

→ pttano: 款 42.71.82.21 10/19 13:39

推 gold9450412: 密碼複雜性不是行之有年的事情了嗎 49.216.111.210 10/19 15:20

→ gold9450412: 真的要防的是不用暴力解的高階駭客 49.216.111.210 10/19 15:21

→ gold9450412: 吧 49.216.111.210 10/19 15:21

→ windlll: 社交工程攻擊，多長的都沒用 59.115.153.65 10/19 17:06

噓 LiebeLion: 有這種高層難怪華碩長這樣 39.12.57.165 10/19 18:46

→ ssccg: 其實長密碼，用句子就是最好的方法沒錯118.150.124.138 10/19 22:11

→ ssccg: 那種要求大小寫特殊符號的才是低能118.150.124.138 10/19 22:11

→ ssccg: 密碼複雜度就是個迷思，而長度是「唯一」保118.150.124.138 10/19 22:12

→ ssccg: 證對抗暴力破解時能確實增加強度的規則118.150.124.138 10/19 22:12

→ ssccg: passwordless、password manager本質是把密118.150.124.138 10/19 22:14

→ ssccg: 碼設計垃圾的系統轉換成別的認證方式118.150.124.138 10/19 22:14

→ ssccg: 跟怎樣的密碼才是好的，是兩回事118.150.124.138 10/19 22:14

→ ssccg: 多因子認證也一樣，如果要記憶性因子還是要118.150.124.138 10/19 22:16

→ ssccg: 回歸到密碼強度，而且不是只看數學上的強度118.150.124.138 10/19 22:17

→ ssccg: 能讓人「記住」的密碼，才能保證是個記憶性118.150.124.138 10/19 22:17

→ ssccg: 因子118.150.124.138 10/19 22:17

→ ssccg: 這世上沒有什麼不用暴力解的高階駭客，一個118.150.124.138 10/19 22:18

→ ssccg: 安全演算法，就只有暴力、社交工程兩種攻擊118.150.124.138 10/19 22:19

推 zaiter: 台灣資料基本被中美看光光了偷光光了公116.241.140.206 10/20 06:52

→ zaiter: 司it根本抓不到資料怎麼洩漏的116.241.140.206 10/20 06:52

→ jiajie: 將帥無能... 61.220.204.243 10/20 10:17

推 Csongs: 特殊符號大小寫真的沒必要 49.216.162.134 10/20 13:28

→ Csongs: 真正密碼專家應該不強制要求這些 49.216.162.134 10/20 13:29

推 WaterLengend: 我快笑死 61.231.59.91 10/21 01:25

推 plant: 不就是NIST 2025的更新嗎 117.56.170.109 10/21 14:32