在 Slashdot 上報導了加州某所學校因為預設老師的密碼所造成的資料洩漏問題:Generic Passwords Expose Student Data。
其實國內也有很多類似的鳥蛋問題,但是他們都會推卸責任給使用者 (在上面的新聞裡面就是教師),認為這是使用者沒有修改密碼。
但這是錯的 – 就如同 bb.nctu.edu.tw 對於研究生帳號的預設密碼設計 – 預設密碼就是帳號名稱。在今天 Open Proxy 夠多,不可能擋得完的情況下,有心人甚至可以寫程式幫你把整個系統的密碼改光光…
比較好的方法當然是透過實體認證 (學生證、身份證、…) 領取帳號與預設的亂數密碼。另外,在已經有某套可以信賴的認證基礎時,可以利用現有的認證架構提供服務…。