ヘルプセンター
background
安全

密碼原則相關常見問題

対象:
労務管理プラン(旧スモールプラン)人事・労務エッセンシャルプラン(旧スタンダードプラン)プロフェッショナルプラン¥0プラン人材マネジメントプランHRストラテジープラン

本頁面將介紹密碼原則相關常見問題。

密碼原則相關常見問題

Q. 為什麼字元種類沒有限制?

A. 因為與安全性相關的最新趨勢中,比起限制字元種類,更推薦使用字元數較長的密碼。

NIST(美國政府標準)、內閣網路安全中心標準與SmartHR密碼原則標準的比較結果如下所示。

 NIST SP800-63B內閣網路安全中心(NISC)SmartHR
(2022年2月16日以後)
最少字元數使用者自行設定的密碼為8字元
隨機產生的密碼為6字元(可皆為數字)
登入密碼(用於網路服務等的密碼)為10字元以上
加密鑰匙(用於受密碼保護的檔案及儲存媒體)為15字元以上
10字元以上
最多字元數64字元以上-72字元
字元種類不應限制
(系統應容許包含空格的所有ASCII可列印字元,
以及Unicode字元)
大小寫英文字母+數字+26種符號,總共88種沒有限制
使用期限不應要求定期變更。
如發生意外等情況,將強制變更。
基本上不需要定期變更密碼
如密碼外洩,應立即變更
不應要求定期變更
密碼連續變更禁止期間---
禁用過去已使用的密碼---
禁用密碼・列於過去已外洩清單中的密碼組合
・字典中找得到的詞語
.重複或連續的字元(aaaaa、1234abcd)
.服務名稱、使用者名稱及其相關衍生詞等
不重複使用相同密碼、類似密碼,及可透過個人資料等
推測出的密碼。
使用外部資料庫的API確認過去密碼是否已外洩,並設定禁用密碼(封鎖清單)
導致帳號鎖定的輸入錯誤次數100次以下
可於鎖定前顯示驗證碼,或設定延遲時間
-如密碼輸入錯誤達10次,帳號將遭到鎖定
(如輸入錯誤達5次以上,將顯示「再輸入錯誤幾次帳號將遭到鎖定」的提醒訊息)
帳號鎖定期間---

Q. 關於密碼的使用期限,設定為「不應要求定期變更」的理由是?

A. 關於SmartHR沒有要求定期變更密碼功能的理由,請參閱以下文章。

什麼是「定期變更密碼」的歷史?一併介紹放心使用SmartHR的秘訣|SmartHR Mag.

Q. 系統上如何設定禁用密碼(封鎖清單)?

A. 使用外部資料庫的API確認過去密碼是否已外洩,並設定禁用密碼(封鎖清單)。

2022年2月起實施的新密碼原則因應方式相關常見問題

Q. 誰應該要變更密碼?

A. 使用SmartHR的所有使用者(管理者、員工、已離職員工)。

Q. 密碼是否設有變更期限?

A. 轉移至新密碼的期間約3個月,預定為2022年2月16日至2022年5月中旬。具體轉移期限將於日後另行公布於本公司網站上。

請於轉移期間內自行變更密碼。

如未於轉移期間內變更密碼,之後登入時系統將強制顯示設定新密碼的畫面。

Q. 如現有的密碼已符合新密碼原則,是否還需要辦理變更手續?

A. 需要。

即使現在設定的密碼已符合新密碼原則,仍應變更密碼。

但可重新設定相同密碼繼續沿用。

Q. 請告知變更密碼的步驟。

A. 請參閱以下的幫助頁面。

Q. 管理者設定的員工編號帳號的原始密碼,最少字元數是否也將變更為10字元?

A. 員工編號帳號的原始密碼並沒有變更,仍為最少8字元。

當員工要變更管理者設定的密碼時,則應設定為10字元以上。

此外,如員工忘記自己設定的密碼,由管理者重新設定時,密碼將恢復為原始密碼(如當初設定為8字元,便是8字元)。

Q. 如忘記變更後的密碼,應該怎麼辦?

A. 請參閱以下的幫助頁面。

「忘記登入用的密碼」與「使用員工編號登入,卻於登入、通知用的電子郵件地址處於未登錄狀態下忘記密碼」這兩種情況的處理方法會有所不同。

請參閱以下的幫助頁面。