【資安 101 專訪】破解「撞庫攻擊」：資深資安顧問 Steven 談帳號安全與密碼管理

近期，多家企業平台遭遇駭客利用「無差別撞庫」的手法，惡意登入竊取會員點數。事件已進入司法偵辦，也引發社會對 帳號安全 的關注。 

究竟什麼是「撞庫攻擊」？它和 企業資安防護、消費者的資安意識 有什麼關聯？ 

今天，我們邀請神坊資訊資安事業部技術經理、擁有多年資安實務經驗的資深資安顧問 Steven，透過專訪帶大家深入了解，並分享最實用的 密碼管理 與 多因素驗證 建議。 

【訪談正文開始】

什麼是「無差別撞庫攻擊」？ 

問： 「無差別撞庫」聽起來很駭人，能不能用簡單的方式解釋？ 

答（Steven）： 簡單來說，撞庫攻擊就是駭客把外流的帳號密碼清單，拿去不同網站亂試。因為很多人不同平台都用同一組密碼，所以駭客很容易「一把鑰匙開很多門」。 

它不是什麼高深的黑科技，反而是利用大家在 密碼管理 上的鬆懈。 

撞庫攻擊和企業資安防護的關係 

問： 這可能會代表，在這次案件的受害平台平時在資安防護方面做得不夠嗎？ 

答（Steven）： 其實大多數撞庫事件，並不是因為企業系統被入侵，而是消費者的帳號密碼早在其他地方外洩，被駭客「拿來再利用」。  

企業當然會有防護，例如異常登入偵測、多因素驗證、登入次數限制等等。但也必須要強調，撞庫的「起點」，往往來自消費者自身的 帳號安全意識不足。 

換句話說，企業可以幫忙「鎖門」，但如果鑰匙本身早就被複製，那風險就不只在平台端。 

企業端能做的防護措施 

問： 那企業完全擋不住嗎？ 

答（Steven）： 不會，但最多只能做到降低風險，不能完全消滅。建議企業的有效做法包括： 

• 異常流量偵測：快速封鎖機器人大量登入嘗試與限制錯誤登入次數。 

• 多因素驗證（MFA）：就算帳密外洩，也能多一道關卡。 

• 異常通知提醒：讓用戶即時知道帳號是否被可疑使用。 

  
  

這些措施都能提升平台防護，但老實說，駭客「撞庫」的成功率，最終還是取決於消費者自己的密碼管理習慣。 

以這次新聞點出的幾家被當作撞庫目標的平台來說，我相信在資安防護方面採取的措施一定不會少。

因此，重點要呼籲並且教育消費者提升帳號安全意識，而在資安防護之外，企業端也應該備有完善的緊急應對措施，協助遭遇此類狀況的消費者即時保障權益、降低損失。 

消費者該如何提升帳號安全？ 

問： 那消費者應該怎麼保護自己呢？ 

答（Steven）： 其實很簡單，以下五點就能規避大部分風險： 

1. 不同平台不要用相同密碼 —— 這是最重要的。 

2. 啟用多因素驗證 —— 雖然多一步驟，但能有效提高帳號安全。 

3. 定期更換密碼 —— 不用天天換，但至少不要幾年不變。 

4. 留意安全通知 —— 別忽視平台發來的異常登入提醒。 

5. 小心網路詐騙 —— 特別是釣魚郵件或假購物網站，別隨意點擊可疑連結。 

說白一點，駭客喜歡找「最好下手」的對象。如果能在 密碼管理 和 資安意識 上多花點心思，就能大幅降低成為受害者的機率。 

結語 

「無差別撞庫攻擊」其實就是駭客利用消費者的密碼慣性。平台會持續加強防護，但真正的第一道防線，仍然是消費者的 資安意識。 

 當 企業防護措施 與 消費者正確習慣 相互搭配時，才能最大限度守護每一個人的帳號安全。 

相關文章：小樹會員遭「惡意登入」調查進度說明