今晚好不容易終於可抽空上了空大第一堂課，一口氣把資訊安全第一、二週要上

的囫圇吞棗的一次看完。

誠如課程與書裡所說的，用程式猜密碼這件事確實簡單的很。因此在實務上，早

期發展出除了帳密以外加上隨機的圖形驗證碼。在每次送出帳密後就會隨機改變

圖形驗證碼，這作法降低了不少帳密被猜到的機率。

後來又發展出手機、電話、、等等的輔助認證，來加強帳密的資訊安全。這些都

不無小補，至少比只有帳號跟密碼就能登入的來得好多了。像這種你大多必須先

確定帳號才比較好猜密碼。

當然啦，新手、肉腳工程師寫的圖形驗證碼。常常形同虛設，一般小公司的新手

工程師寫的就不提了，就說中華電信的ADSL小額付款的認證機制吧，它雖然看起

會隨機變化，但是第一次進去卻始終是同一個碼，像這種有驗證碼等於沒，剛剛

跑去看了一下誰知道他們不只沒改善，反而將驗證碼拿掉了，可能有人發現或反

應吧，但拿掉更慘只要有帳密就可以任意付費了，我剛就測試付費送了通簡訊給

自己。

我貼這篇主要是上完今天的課有感而發。任何人不用登入 只要逕行連往空大的

https://xxx.xxx.edu.tw/online/userxxxx.php 就能知道哪一班有哪些人，而

這些人的學號姓名一目了然。加上空大的統一登入機制只要填學號跟密碼即可

登入，嘿嘿.....根本隨便就能被有心人知道帳密了。

雪上加霜的是..... 猜到帳密後，到學生資訊服務系統>>學生基本資料，@@歐買

尬.....身分證、出生日期、EMAIL、、、、、一大堆個人資料完全無一遮掩，連

不能編輯的欄位作個消音的動作也沒(例如身分證實在不應該完整全顯現)

這幾個例子慘的都是帳號不是你自己設的卻又幾乎任何人都能拿到或知道，再來

只要用程式猜中密碼就大功告成了。

實在是資訊安全的大漏洞，讓人不禁憂心。