預設密碼的問題

上報導了加州某所學校因為預設老師的密碼所造成的資料洩漏問題:Generic Passwords Expose Student Data

其實國內也有很多類似的鳥蛋問題,但是他們都會推卸責任給使用者 (在上面的新聞裡面就是教師),認為這是使用者沒有修改密碼。

但這是錯的 - 就如同 對於研究生帳號的預設密碼設計 - 預設密碼就是帳號名稱。在今天 Open Proxy 夠多,不可能擋得完的情況下,有心人甚至可以寫程式幫你把整個系統的密碼改光光...

比較好的方法當然是透過實體認證 (學生證、身份證、...) 領取帳號與預設的亂數密碼。另外,在已經有某套可以信賴的認證基礎時,可以利用現有的認證架構提供服務...。

One thought on “預設密碼的問題”

  1. 其實我一直在等自然人憑證的機制可以開放一個簡單確認個人身分的功能
    可是直到現在, 只有公家單位和金融業者能使用的樣子....

Leave a Reply

Your email address will not be published. Required fields are marked *