1. 為避免所建置之網購系統遭受憑證填充攻擊，下列何項舉措 最無效果？
(A) 使用一次性密碼(One Time Password)
(B) 使用多因子驗證方式(Multi-factor authentication)
(C) 使用雙因子驗證方式(Two-factor authentication)
(D) 強化密碼複雜度(Password Complexity)

下面先概括關鍵結論，再逐項說明：

結論： 對抗憑證填充（Credential Stuffing）最無效果的舉措是 (D) 強化密碼複雜度。憑證填充攻擊利用的是「已外洩的、合法」使用者帳密組合，單純提高密碼複雜度並不能阻止已被盜取的憑證被重複使用；而其它三種措施都屬於第二因素或多因子驗證，能有效防止攻擊者即便掌握使用者密碼也無法通過額外的驗證流程。

(A) 使用一次性密碼 (One Time Password)

• 一次性密碼（OTP）屬於動態驗證因素，攻擊者即使握有使用者的靜態密碼，也無法生成正確的 OTP，直接阻斷憑證填充攻擊。 (authsignal.com)

(B) 使用多因子驗證方式 (Multi-factor Authentication)

• 多因子驗證（MFA）結合「知識因素」（如密碼）與「持有因素」（如手機推播、硬體憑證）或「生物因素」，可以阻止高達 99.9% 的憑證填充及相關帳戶接管攻擊。 (cheatsheetseries.owasp.org)

(C) 使用雙因子驗證方式 (Two-factor Authentication)

• 雙因子驗證（2FA）是 MFA 的子集，常見形式即「密碼＋一次性驗證碼」，同樣能在使用者密碼被盜用後，藉由第二道驗證（如手機簡訊、TOTP 應用程式）將攻擊擋下。 (WIRED)

(D) 強化密碼複雜度 (Password Complexity)

• 憑證填充攻擊正是利用「已外洩的合法帳密」，與密碼本身的複雜度無關；即便密碼強度再高，只要憑證已被盜，攻擊者依然能提交正確組合通過第 1 步驟。 (Descope)

• 各大權威防禦建議（如 DataDome）列出的前五大防禦策略中，也不包括單純的複雜度要求，顯示其對憑證填充無實質幫助。 (DataDome)

因此，在選項中，「強化密碼複雜度」並非針對憑證填充攻擊的有效對策，故為最無效果的選擇。