兩步驟驗證政策
Two-Factor Authentication Policy
為什麼需要兩步驟驗證
Uedu 優學院作為教育科技平台,儲存大量學生的個人資料,包括 AI 對話紀錄、學習歷程、 課程活動統計數據、學習特質探索結果等。這些資料具有高度敏感性,涉及學生的學習行為與個人隱私。
教師、助教與管理員在教學過程中需要存取這些資料,以進行教學改進與學習成效分析。 然而,若這些帳號僅以密碼保護,一旦密碼外洩或遭到暴力破解,攻擊者即可大量存取學生的個人資料,造成嚴重的隱私侵害。
兩步驟驗證(2FA)為帳號增添第二道安全防線。即使密碼外洩, 攻擊者仍無法通過驗證器 App 產生的動態驗證碼,從而有效防止未授權存取。
保護學生資料
以第二道驗證防線
防止帳號遭未授權存取
法律依據
我國《個人資料保護法》 明確規定資料保有者應採取安全維護措施,保護個人資料不受侵害。以下為本平台強制 2FA 之主要法律依據:
第 18 條
公務機關保有個人資料檔案者,應指定專人辦理安全維護事項,防止個人資料被竊取、竄改、毀損、滅失或洩漏。
第 20-1 條
非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏。
第 48 條(罰則)
違反安全維護義務者,處新臺幣 2 萬元以上 200 萬元以下罰鍰;屆期未改正者,按次處 15 萬元以上 1,500 萬元以下罰鍰。
適用對象與可存取資料
以下表格列出各角色可存取的學生資料範圍,以及對應的 2FA 要求:
| 角色 | 可存取的學生資料 | 2FA 要求 |
|---|---|---|
| 系統管理員 | 所有使用者資料、系統設定、全平台統計數據 | 強制啟用,不可停用 |
| 課程教師 | 課程活動統計數據、學生 AI 對話紀錄、學習歷程、測驗成績、問卷回覆 | 強制啟用,不可停用 |
| 課程助教 | 課程活動統計數據、學生學習歷程、討論區互動紀錄 | 強制啟用,不可停用 |
| 一般學生 | 僅限自己的資料(對話紀錄、學習歷程、成績) | 建議啟用(非強制) |
技術實作說明
Uedu 採用 TOTP(Time-based One-Time Password)標準實作兩步驟驗證, 相容所有主流驗證器應用程式。以下為主要安全設計:
TOTP 密鑰加密儲存
密鑰使用 Fernet 對稱加密儲存,即使資料庫遭入侵也無法取得原始密鑰
救援碼 SHA-256 雜湊
10 組一次性救援碼以 SHA-256 雜湊儲存,系統無法還原明文
暴力破解防護
連續 5 次驗證失敗鎖定 15 分鐘,有效防止暴力嘗試
Email 重設冷卻期
透過 Email 重設 2FA 需等待 24 小時冷卻期,防止惡意操作
更詳細的安全設計說明,請參閱資料安全政策頁面的「帳號安全機制」區塊。
常見問題
如何設定兩步驟驗證?
登入後前往 2FA 設定頁面,使用驗證器 App(如 Authy、Google Authenticator、Microsoft Authenticator)掃描 QR Code, 輸入 6 位數驗證碼完成設定。系統會產生 10 組救援碼,請務必妥善保存。
遺失手機或驗證器 App 怎麼辦?
您可以使用啟用時保存的救援碼登入;或在登入頁面申請 Email 重設(24 小時冷卻期後生效); 也可以聯繫課程教師或平台管理員在後台為您重設。重設後,教師/助教/管理員帳號會被立即要求重新設定 2FA。
為什麼我無法停用 2FA?
如果您是教師、助教或管理員,您的帳號可存取學生的個人資料。依據《個人資料保護法》安全維護義務, 平台必須確保這些帳號受到充分的安全保護。2FA 是目前最有效的帳號保護措施之一,因此無法停用。
學生也需要設定 2FA 嗎?
一般學生帳號不強制要求,但我們強烈建議啟用,以保護您的個人帳號安全。 您可以在 2FA 設定頁面 自行啟用或停用。