作者pl132 (pl132)
看板Tech_Job
標題[新聞]如何擋下網攻不破防?華碩資安長曝粗暴解
時間Sat Oct 18 00:17:25 2025
如何擋下網攻不破防?華碩資安長曝粗暴解方:強制推行15碼密碼,駭客就會「累到放手
」?
https://www.bnext.com.tw/article/84769/asus-cyber-attack
隨著AI、量子技術的發展,資安威脅也隨之不斷進化。根據Check Point Software
Technologies的威脅情報部門數據顯示,2025年第2季全球每週遭受網路攻擊的次數平均
為1,984次,和2024年同期相比增加21%,與兩年前相比更成長了58%。
其中,台灣的網路攻擊情況特別嚴重,平均每週遭到4,055次攻擊,位居亞太地區之首。
而台灣受攻擊次數最多的前三大產業,依序為硬體供應商(平均每周8,139次)、政府與
軍事機構(5,042次)和製造業(4,983次)。
面對日益升級的資安風險,華碩資安長金慶柏指出,早期駭客只是單純為了炫技,到現在
演變成全球化、生態系化的「勒索即服務」的犯罪模式,攻擊者已將獲利模式變得更精準
化、規模化。
資安防禦如今已不再是單純的IT技術問題,而是攸關企業生存與品牌信任的戰略議題。而
面對當前的資安威脅,華碩將其歸納為兩大類:
威脅一:利用AI大量產出釣魚訊息
如今,駭客不再需要花費大量時間手寫惡意程式碼或設計社交工程郵件。透過生成式AI,
駭客就能大規模的產出語意完美,且高度客製化的郵件或訊息,大大提升了員工被釣魚或
社交工程攻擊成功的機率。
此外,透過深度偽造(Deepfake)的影像與聲音,詐騙集團也能模擬高階主管的聲音、外
貌,發動「變臉詐騙」,直接鎖定財務或供應鏈人員,造成難以追回的巨大財損。
威脅二:針對AI系統本身的攻擊
當AI模型成為企業的核心資產(例如內部知識庫LLM或智慧生產系統),駭客的目標也開
始轉向模型本身。例如透過惡意輸入,讓AI模型做出非預期的行為,甚至竊取訓練數據或
機密輸出。再加上近年AI代理人的興起,只要這些能自主執行任務的AI體系被滲透,潛在
的破壞力更是不容小覷。
簡單粗暴但有效的防範招式:密碼升級至15碼
隨著生成式AI與供應鏈攻擊日益複雜,金慶柏認為,現在企業資安遇到最困難的挑戰,其
實是「人與文化」。
「企業防護做得再好,可是只要有一個員工粗心大意,就可能把公司幾十年辛苦的防範,
全部化為烏有。」金慶柏強調,再複雜的技術防禦,其實都可以靠預算解決,但人性的疏
忽卻可能讓資安防線瞬間瓦解。因此,華碩認為,資安工作的核心在於文化轉變,必須建
立起全公司「保密防駭,人人有責」的集體意識。
為了讓資安防護深植於企業DNA,華碩採取了各種不同的策略, 其中最讓人意想不到的,
就是強制推行15碼的高強度密碼。 金慶柏指出,多數企業會在IT系統端下功夫,卻忽略
了員工的個人裝置與習慣。然而,這小小的一個舉動,卻是一個「便宜」卻又非常有效的
方法。
金慶柏強調,只要密碼從4碼升級到15碼的安全強度, 就夠確保駭客在現有技術下需要花
上百年才能成功破解,極大地提升了資料的安全性。 「就算你把密碼貼在電腦底下,我
們不鼓勵,但也會比單純4碼密碼安全的多,」金慶柏笑著補充,「畢竟能進到公司、辦
公室偷取機密的人,就已經大大減少了。」
另外,華碩的資安長也親自扮演「資安傳教士」的角色,透過持續性的教育、訓練和年度
的資安週活動,不斷向全體員工宣導和傳遞資安意識,確保這種「人人有責」的防駭觀念
,能夠從上到下,真正成為華碩企業文化的一部分。
華碩怎麼應對AI帶來的資安挑戰?
要在AI時代安全地利用AI工具,除了公司內部資安文化的建立,一個由上而下且持續優化
的治理框架更是關鍵。
「沒有任何企業能保證永遠不發生資安事故,」金慶柏強調,企業能夠不支付贖金的「底
氣」,就在於是否具備強大的數位韌性,而這樣的韌性,則必須具備完善的災害備援機制
、嚴謹的資料分級與保密,以及能夠快速恢復營運的系統能力。
策略一:災害備援機制
備份的最終目的,是確保在數據遭到加密或破壞後,企業能隨時「倒帶」回去,以最快的
速度以備份的基礎重建系統並恢復資料。
因此在資料保護上,金慶柏建議實施「3-2-1」的備援機制,也就是企業的關鍵數據「至
少要有三份副本,儲存在兩種不同的儲存媒介上,其中一份必須存放在異地或雲端」,這
樣就能應對各種極端災害。
策略二:嚴謹的資料分級與保密
面對AI時代的來臨,華碩在2024年成立了由董事長親自指示跨部門的GenAI委員會,負責
統籌全公司的AI技能培訓,更設立了標準化的資安審查流程,要求任何部門導入第三方AI
服務都必須通過評估,從源頭保障企業機密。
最關鍵的是,這項政策採用PDCA(計畫-執行-檢查-行動)循環,並嚴格執行「紅線禁區
」,明確禁止將「機密」及以上等級的數據用於未經核可的公開AI模型,確保企業核心數
據安全。
策略三:能夠快速恢復營運的系統能力
在攻擊發生前,企業內部也應設有應對資安事故的標準作業流程。這套SOP必須明確紀載
事故發生後,所有部門的職責和具體應對行動。這樣在被攻擊後,團隊也能不手忙腳亂地
一步一步照流程處理。同時,華碩也加入了FIRST等全球資安社群,確保內部團隊能隨時
與國際領先者同步,不斷提升資安應變的成熟度。
「資安防禦的最終目的,是讓企業具備在風險中持續營運的能力。」金慶柏最後強調,只
有將資安從技術任務提升為全員文化,並將其視為設計與營運的核心價值,企業才能真正
的實現永續經營。
駭客應該都直接攻擊企業的資料庫在反手洩漏出去吧
台灣企業比較危險吧,很多都沒再管這一塊
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 123.195.194.185 (臺灣)
※ 文章網址: https://webptt.com/m.aspx?n=bbs/Tech_Job/M.1760717847.A.45E.html
1F:→ iverson0991: 金慶柏笑著補充,「畢竟能進到公司、 114.43.101.93 10/18 01:12
2F:→ iverson0991: 辦公室偷取機密的人,就已經大大減 114.43.101.93 10/18 01:12
3F:→ iverson0991: 少了。」 114.43.101.93 10/18 01:12
4F:推 cancelpc: 太長密碼,反而一堆人都用紙抄下 111.249.180.48 10/18 02:48
5F:→ cancelpc: 反人性的資安解決方式,最容易讓人犯低 111.249.180.48 10/18 02:48
6F:→ cancelpc: 級錯 111.249.180.48 10/18 02:49
7F:推 ptta: 可憐啊 114.44.235.92 10/18 09:01
8F:→ Bombardier: FIDO 成員可以回家吃自己了 36.229.28.14 10/18 10:15
9F:推 centra: 這不行 因為人記不住這麼長的密碼114.137.202.216 10/18 10:27
10F:→ centra: 反而讓很多人把密碼寫在紙上避免忘記114.137.202.216 10/18 10:28
11F:推 kanpfer: 企業被勒索從來不是密碼太短 27.52.7.129 10/18 11:06
12F:推 onnie: 長密碼蠻有用的,但是密碼規則爛 122.121.80.77 10/18 11:12
13F:推 onnie: 用多個隨機單詞拼再一起 122.121.80.77 10/18 11:15
14F:→ onnie: 比短密碼但是很多規則還難破解 122.121.80.77 10/18 11:15
15F:→ onnie: 多個單子對人類來講也好記憶 122.121.80.77 10/18 11:15
16F:推 mark850121: 伺服器事業部總經理 難怪華碩的伺服 114.37.159.238 10/18 11:22
17F:→ mark850121: 器... 114.37.159.238 10/18 11:22
18F:噓 Zoanthropy: 蛤 這麼過時的方法 我還以為是拔網路 42.73.52.220 10/18 11:42
19F:→ Zoanthropy: 線 42.73.52.220 10/18 11:42
20F:→ rogergon: 多階段認證這麼好用的東西不用111.250.127.180 10/18 12:01
21F:推 kkes0001: 可悲推文只看標題,甚至一樓都複製重點 223.137.14.35 10/18 12:04
22F:→ kkes0001: 回答了還是看不到,人家早回答抄紙上的 223.137.14.35 10/18 12:04
23F:→ kkes0001: 問題了 223.137.14.35 10/18 12:04
24F:→ kevinmeng2: 這主管…呵呵,鬼故事很多 219.70.152.87 10/18 12:15
25F:推 gtjs45: 豪厲害喔 不愧是資安長 223.140.66.216 10/18 13:34
26F:推 shyshyan: 我還以為打中文注音輸入英數就是最暴力 111.246.189.79 10/18 15:00
27F:→ shyshyan: 的密碼 111.246.189.79 10/18 15:00
28F:推 justdoit: 用注音打,好記又可以長,前提是要有鍵盤 1.163.83.46 10/18 16:50
29F:→ justdoit: 用手機的就有要鍵盤注音對照表 1.163.83.46 10/18 16:51
30F:推 ChungLi5566: 密碼越長越容易撞庫攻擊 61.57.105.8 10/18 17:14
31F:→ ChungLi5566: 因為根本記不起來 都同一組一直用 61.57.105.8 10/18 17:14
32F:推 gmoz: 也沒錯啦... 比起難搞複雜 長度長比較方便 111.248.195.21 10/18 19:28
33F:→ gmoz: 也比較安全 111.248.195.21 10/18 19:29
34F:推 lt921205: 整個資料庫被攻破密碼長還有用? 60.250.203.250 10/18 19:44
35F:推 orange0319: 哇,資安長好棒喔 (死魚眼 114.136.234.64 10/18 19:50
36F:→ ah7675: 看完完整內容覺得他說的其實沒什麼問題, 1.164.15.28 10/18 20:09
37F:→ ah7675: 也符合實務。記者標題殺人,看推文就知道 1.164.15.28 10/18 20:09
38F:→ ah7675: 內文根本沒看。 1.164.15.28 10/18 20:09
39F:→ dildoe: 意思原先的只用密碼認證然密碼複雜度不佳?118.168.176.120 10/18 20:56
40F:→ dildoe: passwordless,password manager都是花拳秀118.168.176.120 10/18 20:57
41F:→ dildoe: 腿?118.168.176.120 10/18 20:57
42F:推 dream1124: 四碼是pin code還是密碼?我想是密碼 36.227.198.33 10/18 21:14
43F:→ dream1124: 那樣的話說很遜也沒錯啊。都2025年了, 36.227.198.33 10/18 21:15
44F:→ dream1124: 才在禁止這麼短的密碼,而且為這種事 36.227.198.33 10/18 21:15
45F:→ dream1124: 買行銷宣傳那也太奇怪了吧~ 36.227.198.33 10/18 21:16
46F:推 maxman77: 斷網就好 簡單~ 111.240.142.51 10/18 21:16
47F:→ dream1124: 同時使用啟用特徵辨識並不定期要求MFA 36.227.198.33 10/18 21:18
48F:→ dream1124: 然後人人發實體金鑰這樣再來說吧 36.227.198.33 10/18 21:18
49F:→ dream1124: 或者門禁與資通訊身份認證系統完全整合 36.227.198.33 10/18 21:19
50F:→ dream1124: 不要拿門禁卡又要密碼還要裝認證器。 36.227.198.33 10/18 21:20
51F:→ dream1124: 做到這些再出來發宣傳稿還差不多 36.227.198.33 10/18 21:21
52F:→ ericthree: 我有更好的方案 20碼! 220.129.135.12 10/18 21:39
53F:推 solothurn: 一樓引用的算回答? 原來資安只需防外 1.162.191.191 10/18 23:46
54F:→ solothurn: 人 1.162.191.191 10/18 23:46
55F:推 mathrew: 一看就標題殺人 36.230.53.88 10/19 07:40
56F:推 silver5566: 你只要不要限制要大小寫符號等等的,118.171.108.148 10/19 09:11
57F:→ silver5566: 人很容易記住15個字的密碼,你可以用118.171.108.148 10/19 09:11
58F:→ silver5566: 生日、簡單英文等等拼湊118.171.108.148 10/19 09:11
59F:推 wulouise: 沒有萬用解,但是admin acc低強度密碼被 223.137.226.94 10/19 11:27
60F:→ wulouise: 破很常見吧 223.137.226.94 10/19 11:27
61F:推 onnie: 密碼太常見或是太短容易被md5撞庫111.242.141.253 10/19 12:02
62F:→ onnie: 太長根本不是問題111.242.141.253 10/19 12:02
63F:→ onnie: 同一組一直用短密碼也是一直用啊111.242.141.253 10/19 12:02
64F:噓 pttano: 還好不是金融密碼,用15碼密碼保護我5碼存 42.71.82.21 10/19 13:39
65F:→ pttano: 款 42.71.82.21 10/19 13:39
66F:推 gold9450412: 密碼複雜性 不是行之有年的事情了嗎 49.216.111.210 10/19 15:20
67F:→ gold9450412: 真的要防的是 不用暴力解的高階駭客 49.216.111.210 10/19 15:21
68F:→ gold9450412: 吧 49.216.111.210 10/19 15:21
69F:→ windlll: 社交工程攻擊,多長的都沒用 59.115.153.65 10/19 17:06
70F:噓 LiebeLion: 有這種高層難怪華碩長這樣 39.12.57.165 10/19 18:46
71F:→ ssccg: 其實長密碼,用句子就是最好的方法沒錯118.150.124.138 10/19 22:11
72F:→ ssccg: 那種要求大小寫特殊符號的才是低能118.150.124.138 10/19 22:11
73F:→ ssccg: 密碼複雜度就是個迷思,而長度是「唯一」保118.150.124.138 10/19 22:12
74F:→ ssccg: 證對抗暴力破解時能確實增加強度的規則118.150.124.138 10/19 22:12
75F:→ ssccg: passwordless、password manager本質是把密118.150.124.138 10/19 22:14
76F:→ ssccg: 碼設計垃圾的系統轉換成別的認證方式118.150.124.138 10/19 22:14
77F:→ ssccg: 跟怎樣的密碼才是好的,是兩回事118.150.124.138 10/19 22:14
78F:→ ssccg: 多因子認證也一樣,如果要記憶性因子還是要118.150.124.138 10/19 22:16
79F:→ ssccg: 回歸到密碼強度,而且不是只看數學上的強度118.150.124.138 10/19 22:17
80F:→ ssccg: 能讓人「記住」的密碼,才能保證是個記憶性118.150.124.138 10/19 22:17
81F:→ ssccg: 因子118.150.124.138 10/19 22:17
82F:→ ssccg: 這世上沒有什麼不用暴力解的高階駭客,一個118.150.124.138 10/19 22:18
83F:→ ssccg: 安全演算法,就只有暴力、社交工程兩種攻擊118.150.124.138 10/19 22:19
84F:推 zaiter: 台灣資料基本被中美看光光了 偷光光了 公116.241.140.206 10/20 06:52
85F:→ zaiter: 司it根本抓不到資料怎麼洩漏的116.241.140.206 10/20 06:52
86F:→ jiajie: 將帥無能... 61.220.204.243 10/20 10:17
87F:推 Csongs: 特殊符號大小寫真的沒必要 49.216.162.134 10/20 13:28
88F:→ Csongs: 真正密碼專家應該不強制要求這些 49.216.162.134 10/20 13:29
89F:推 WaterLengend: 我快笑死 61.231.59.91 10/21 01:25
90F:推 plant: 不就是NIST 2025的更新嗎 117.56.170.109 10/21 14:32