阿摩線上測驗
複選題
15. 身分驗證機制是利用帳戶密碼進行作為識別使用者的機制,
是多數資訊系統驗證使用者身分的基礎。關於身分驗證機制
的敘述,下列哪些正確?
(A) 設定「最小密碼長度」的原則主要是要產生更多的
密碼組合,提高被破解的難度。美國國家標準暨技
術研究院(National Institute of Standards and
Technology, NIST)建議最小長度為 8 個字元
(B) 設定「密碼歷程記錄」的原則為了方便使用者自己
找到以前使用過的密碼
(C) 設定「密碼最短使用效期」的原則是指該密碼必須
使用一段時間後才能再次進行變更,通常是配合密
碼歷程機制啟用
(D) 「圖形驗證碼」是設計一組對人類能夠輕易回答而
對電腦是困難的題目,以作為區分執行動作的是電
腦還是人類的行為
統計: A(549), B(45), C(511), D(492), E(0) #3102146
詳解 (共 4 筆)
以下是各選項的解析:
(A) 設定「最小密碼長度」的原則主要是要產生更多的密碼組合,提高被破解的難度。美國國家標準暨技術研究院(NIST)建議最小長度為 8 個字元
- 解析: 密碼長度直接影響可用的密碼組合數量,長度越長,暴力破解的難度就越大。NIST 的指導方針確實建議至少使用 8 個字元作為最低密碼長度。
- 結論: 正確
密碼要求規定:
-
驗證方(Verifiers)與憑證服務提供者(CSPs)必須(SHALL)要求密碼長度至少為8個字元,並應(SHOULD)建議密碼長度至少達到15個字元。
-
驗證方與憑證服務提供者應(SHOULD)允許密碼長度至少能接受64個字元。
-
驗證方與憑證服務提供者應(SHOULD)接受所有可列印的ASCII字元(根據RFC20)以及空白字元(space)作為密碼的一部分。
-
驗證方與憑證服務提供者應(SHOULD)接受密碼使用Unicode字元(依據ISO/ISC 10646標準)。在計算密碼長度時,每一個Unicode碼位(code point)必須(SHALL)被視為單一個字元計算。
-
驗證方與憑證服務提供者不得(SHALL NOT)對密碼施加其他複雜度組合規則(例如:不得強制要求混合使用大小寫字母、數字或特殊字元)。
-
驗證方與憑證服務提供者不得(SHALL NOT)強制要求使用者定期變更密碼。但若有證據顯示密碼可能已遭入侵,則驗證方必須(SHALL)強制使用者變更密碼。
-
驗證方與憑證服務提供者不得(SHALL NOT)允許使用者儲存可供未經驗證者存取的密碼提示(hint)。
-
驗證方與憑證服務提供者不得(SHALL NOT)提示使用者使用基於知識的驗證方式(Knowledge-Based Authentication, KBA,例如:「你第一隻寵物的名字是?」)或安全問題來設定密碼。
-
驗證方必須(SHALL)驗證使用者提交的完整密碼(不得截斷或忽略部分密碼內容)。
(B) 設定「密碼歷程記錄」的原則為了方便使用者自己找到以前使用過的密碼
- 解析: 密碼歷程記錄的主要目的是防止使用者重複使用舊密碼,以提升帳戶安全性,而非供使用者查找過去使用過的密碼。
- 結論: 錯誤
(C) 設定「密碼最短使用效期」的原則是指該密碼必須使用一段時間後才能再次進行變更,通常是配合密碼歷程機制啟用
- 解析: 密碼最短使用效期(Minimum Password Age)的設定目的在於防止使用者為了規避密碼歷程限制而快速連續更換密碼。只有在經過一定時間後,才能更改密碼,這樣可以避免短時間內反覆更換密碼。
- 結論: 正確
(D) 「圖形驗證碼」是設計一組對人類能夠輕易回答而對電腦是困難的題目,以作為區分執行動作的是電腦還是人類的行為
- 解析: 圖形驗證碼(CAPTCHA)的設計目的是利用人類在圖形識別上的優勢,來區分是真正的人類操作還是自動化程式。
- 結論: 正確
最終正確選項
正確的選項為 (A)、(C) 與 (D)。
