-
我很簡單說明一下,我上次3月的那一份文件沒有寫得很清楚,基本上我的想法是,我公司是在美國登記的,我有一個專利,美國已經通過了,PCT也代表148個國家認同符合專利條件,所以歐盟、中國應該沒有什麼問題。
-
這個專利是什麼?因為從1995年,至少從那個時候,Yahoo崛起之後,Internet有很多問題,比如垃圾電子郵件太多、密碼被偷、網路付費盜刷,還有恐攻資訊及勒索郵件,所有的問題追根究底,我認為都只有一個,也就是認證身分,誰在做這一件事,如果能夠認證身分,不能造假的話,就會全部斷絕,至少會少很多,我的專利就是在做這個事情。
-
在治安方面,可以解決很多的問題,在市場方面也可以開發很多的市場,我這麼講好了,像大家講了很多FinTech,FinTech最根本的要求就是在認證身分,認證身分還不夠,還要在開放的環境內運作,什麼是開放的環境?對我們來講,我們專利不同的應用有不同的說法,我舉一個比較明顯的例子,像現在臺灣大部分的人用LINE,要溝通的話,彼此都用LINE,大陸都是用微信,我的專利可以讓微信、LINE等等的社交APP彼此溝通。
-
另外,講到FinTech好了,我們會創造一個open environment,任何一個金融機構要加入的話,彼此不必事先這一家銀行跟那一家銀行說要溝通,不用,只要符合這個open environment的簡單要求,就可以放到全世界,讓銀行隨時加入或隨時退出,我們的構想是這樣子。
-
我是在臺灣出生的,我是1973年新竹交大畢業,後來我到美國去,我先在UC Santa Barbra拿到碩士,再到UC Berkeley去,現在公司主要的成員都是臺灣籍的,有一些是美籍的,我自己是美籍,我們很想利用這個機會,想要在臺灣打造一個全世界技術最先進的網際網路島,營運中心還是在會矽谷那裡,我們認為最近這幾年臺灣的年輕人士氣比較低落,在台灣開發的產品,全世界各國政府都可以用,又可以開發這麼多的市場出來,希望可以鼓舞臺灣的年輕人。
-
第二,現在大家都知道,以前Google、Yahoo逃稅到開曼群島去設公司,現在都不行了,現在有OECD,所以我們在臺灣這一個部門的人越多的話,我們全世界的營收繳給臺灣的稅就越多,這個是我的想法。
-
現在比較重要的專利是ESCOE(US 9,667,605 B2),其實專利文件當中,都故意不是寫得很清楚,都寫得比較模糊一點,如果真正要瞭解的話,是要看technical spec,才知道我們可以怎麼樣認證,我們是用加密學,最主要的是自動,自動很重要。公開加密學有四十年的歷史了,技術很成熟了,現在不能充分利用是因為不能拿到公開金鑰,拿到也不知道是真的或者是假的,這個是我們要解決的問題。
-
我們有四個專利,我舉一個聽起來不可思議,但是講出來又沒有什麼的專利,說不定會比較容易接受。我們第一個專利是中國、歐盟跟美國的證書都已經拿到了,這個專利是我們要遏止垃圾電子郵件,現在全世界通用的標準是SMTP,我1978年在Berkeley唸研究所的時候,跟我同期的同學在當時提出一個概念。
-
現在變成是全世界的標準,他的觀念犯了一個錯誤,以當時來講不算有錯,但是以今天來講,犯了一個根本的錯誤,犯了什麼錯誤?把電子郵件當作傳統信在送收,什麼是傳統的信?像我人到臺灣,我打算在臺灣成立一個公司,我的家人在美國,我要寫信給他,我要拿信紙跟信封寫信,讓郵局把信寄到我家人的信箱去,現在電子郵件SMTP也是一模一樣的方式,如果要送電子郵件給你的話,我要怎麼做?我的電子郵件要傳給我的server,我的電腦就可以關了,我的server就根據你的email address送到你的incoming box,等你從incoming box看信,這一種做法,電子郵件跟傳統信的做法是完全一模一樣的,這種做法是錯誤的,為什麼是錯誤的?
-
電子郵件跟傳統郵件的最大差別是什麼地方?就是快,對不對?講快還不精確,像國際的郵件,從臺灣到美國要一個禮拜的話,假使七個小時可以送到也是很快,七個小時搭飛機還送不了,對不對?在正常的情況之下,電子郵件要送給任何一個人,不管這個郵件是在世界上的哪一個角落,通常在1至3秒都看得到,對不對?所以電子郵件快,快什麼程度?是叫做「即時性」。
-
所以全世界通用四十年的STMP標準,沒有用到最重要的特性,拿到中國、美國、歐盟的專利就是要用到即時性,怎麼用呢?送信收信的人分不出差別的,系統改了也完全不知道,我上傳電子郵件給我的server,差別從這裡開始,本來我的server送電子郵件到你的信箱裡面去,對不對?我說不可以這樣子,我的server把我的電子郵件扣在我的server上,不送出去,只自動產生一個通知給你,什麼人幾月幾日,有電子郵件給你看,你要不要?這個通知是送到你的信箱那裡去沒有錯,但沒有內容的,如果你想要看內容,是跑到我的server來看信,因為即時性,你不需要那張紙擺在你手中,摸得到,你隨時看得到。
-
蘋果現在已經實作這個了,叫Mail Drop。
-
我相信那個有一點不太一樣。
-
確實,它是以儲存大型附件為主。
-
如果這樣的話,我要去看看,我這個專利申請得很早,要看看有沒有侵犯到我的專利。
-
(108年4月29日林放補記,搜尋蘋果的Email及iCloud Mail資料,尚未發現蘋果採用我的方式處理電子郵件。即使蘋果採用什麼類似的方式,相信也只是在蘋果使用人的圈內,蘋果決定把電子郵件留在自家的那個server而已,並非對全世界廣大的SMTP server如此處理,與我革新全世界SMTP系統的目標相去太遠。)
-
可以看一下。目前還活躍,這個專利還沒有過期?
-
我2004年就申請了,但是重點是被專利局拖了很久,但是沒有關係。
-
我再補充一下,拿恐怖分子來當比喻,現在SMTP有一點像讓恐怖分子把炸彈包裹寄到受害人的家裡去,受害人打開受害,恐怖分子可以抓得到,但是要花時間,幾年前我看到報導,Yahoo每一天要過濾三十億個電子郵件,Gmail更多了。現在我的專利不是這樣子,恐怖分子要把炸彈包裹留在自己這邊,然後通知人來領這個炸彈包裹,世界上沒有這樣的恐怖分子,等人家來領就是等人家去檢舉他。
-
加州在十五年前就通過法律了,一封垃圾電子郵件要罰1,000元美元,我這一種辦法,別人不敢亂送垃圾電子郵件了,人家說不要再送,如果還繼續送的話,人家會去告他跟抓他,所以我認為這個遏止作用可以消掉很多垃圾電子郵件。
-
再看一下,其實有很多優點,電子郵件留在送信的server這邊,假設電子郵件送給100個人,然後再給1萬個人,接著是100萬個人,每個人都要跑到送信的server來看這一封信,信不是一直丟出去的,都要跑到這邊來看的,所以如果發現信有問題的話,把單一的信控制住就好了。
-
更進一步的話,你只要過濾這一封等人來看的電子郵件就好了,不要等信送到幾萬個、幾十萬個人那裡,然後大家來過濾許多相同的電子郵件,都不要,過濾一封就好了。
-
我理解。
-
就有很多好處,當然技術問題要解決,如果電子郵件送到你的信箱去,因為你有帳戶、密碼,你的server才能讓你看信,你跑到我的server來看信,我的server不曉得你是誰,怎麼可以讓你看信?所以要怎麼樣?你在我的server這邊沒有設立帳戶,也可以自動認證你的身份。
-
這個我理解。
-
現在我的想法是,因為總總的原因,我是一個很有耐心的人,從2004年開始申請這個專利,就覺得很多問題要解決,已經15年了,我也不急,我們沒有把它弄到完全,就不推出去,因為我年紀也大了,對名利也沒有什麼追求,我想為這個社會做一點事,有機會可以讓臺灣在國際上抬頭。
-
像這一些資安的系統,很多美國政府都需要用的,美國在2011年就想要用實名制,但那是不合理,所以美國很多人權團體都反對,到現在都沒有結果,我的辦法並不是這樣子,我的辦法是「實名追溯制」,你在Google、Yahoo上開帳戶的話,可以完全匿名,Google都不知道你是誰,不應該問東、問西,像你的手機號碼是什麼,都不應該的,那個是隱私的資料。
-
我的辦法是這樣子:什麼地方已經有實名資料?像銀行最多,經過幾十年,他們已經累積很多,我的辦法是用加密學,把你的Google帳號跟銀行的帳號認證連結在一起,不能造假,Google不知道你銀行的帳號,只知道在哪一家銀行有帳戶而已,銀行只知道你在Google有帳戶,不知道你Google的帳號是什麼,平常愛用google帳戶做什麼就做什麼,如果有問題的話,檢調單位依照法律;我漏掉了,我再講一下。
-
你在Google開一個帳戶,你把銀行的帳號用銀行的公開金鑰加密起來,只有銀行才能打開,Google知道是哪一家銀行,就把它送過去,銀行把它打開,知道你是誰,就把你的公開金鑰交給Google。
-
瑞典就是這樣做,就是BankID,這個是現在瑞典有在用的。
-
這樣做的話,平常你完全沒有問題,一有問題的話,檢調的單位叫Google把加密起來的銀行帳號交出來,去找銀行打開,就知道是誰。
-
這個我理解。
-
倒過來,如果已經是黑名單的人物,像美國前一陣子有恐攻份子,法國也有,他們說罪犯已是黑名單人物,但是沒有辦法事先防範作案,我的專利技術可以事先把黑名單人物的匿名帳戶全部找出來,可以事先監控,什麼時候買什麼東西,像什麼時候買爆炸物都可以知道,因此可以事先預防,這是美國從2011年開始,他們沒有想這麼多,他想要實名制,但是我認為那是不合理的,實名追溯制比較合理。
-
中國政府2012年年底就通過網路帳戶實名的立法了,但是名存實亡,只是讓那一些網路服務公司說要用實名制,因此要求很多隱私資料、手機號碼,但那不合理的,侵犯隱私太厲害。
-
美國一直很想要的東西還有政府要提供線上服務,最重要的是,你不需要人家當場把有照的證件拿出來給你看,中國那邊有好幾個省市,向中央政府畫押,在明年要全部都可以提供線上服務,他們如果沒有比較好的技術,也是跟實名制一樣。我們可以解決的問題,除了業界,政府也都很需要的。
-
另外,美國也很需要的,從2015年大概已經四年前了,他們想要廢除帳戶密碼,那時美國聯邦政府被偷得很厲害,偷到人事部的主任都下台,我講了這麼多,我選一個最基本的,就是要先把密碼廢除掉,當然還有很多特別的優點,不只這樣子而已。
-
上次你有回信,問說是不是可以考慮跟跟1password合作。
-
主要是很多人在用,目前比WebAuthn(Web Authentication API)普及。
-
1password基本上跟我們的產品不一樣,我們是要把密碼整個廢除掉,但是他們沒有。一開始大家用很多的帳戶,server沒有廢除密碼,客戶端就不能廢除密碼,所以我們有一個附加的功能,就等於是password manager,但是我們有一個地方不一樣,top 10的password manager都去看過了,他們基本上用一個main password把所有的password包裝起來。
-
其實也可以用Touch ID這一類的機制,像Chrome瀏覽器就內建WebAuthn的指紋感應支援。
-
對,它也可以。
-
或者別的biometric,反正就是用某個factor。
-
對,都可以,但是我看到很多都是用main password,如果main password被偷的話,所有的帳戶密碼就被偷了。
-
現在很多是用手機是用指紋,或者像Macbook Pro也有指紋感應。
-
那其實都沒有什麼問題,我們以後也會,現在沒有弄,我們的看法是,生物辨識這一些東西,對我們來講是補助性的,有些場合為了方便可用,因為基本上還是屬於artificial,都有可能造假,只有加密學這一種是數學。
-
(108年4月29日林放補記,我認為生物辨識適合在手機上,打開app時證明使用人身份,不適合讓server認證客戶端,何況在電腦上不方便使用生物辨識。我們的做法是,在任何機器上包括電腦、手機,server認證客戶端都統一採用根本性的加密學,在手機上的適當場合例如搭公車付費,可使用生物辨識方便打開app,讓server自動以加密學認證客戶端,若是以手機轉帳大筆款項,絕不可只以生物辨識證明使用人,因為熟人可以偷到當事人的生物辨識資料。)
-
但是你的私人金鑰,除非你背得起來,否則其實很長?
-
不用背,都是自動產生、自動輸出的。
-
表示存在磁碟某一個地方。
-
-
你把它解開,通常要一組密碼。
-
我們有很特殊的方式,你現在提出這個問題,我跟你講,資安不能做到百分之百,我們是把破解的難度做到極致。每個user,都有好幾組的key,為什麼?因為要針對server,server按照美國的法律,不同的國家,政府用的商用的,key的長度限制都不同。
-
這個我理解。
-
這個還不算,真正要認證用的key,我們沒有存在這個電腦上,我們一產生就會delete掉,我們要存在什麼地方?我們存在硬碟裡面,我們不讓人家偷,我們產生一個在device的key,先把認證用的key第一層加密起來。第二層是用我們獨有的salting hash包裝起來。
-
但是你要取用的時候,你還是要打一個passphrase不是嗎?
-
當然要打。我的做法是,就是一開始要使用軟件的話,你就選至少八個字,我們用這個來產生key,這不是密碼,你選了至少八個字,任何語言可以混在一起,中文、英文、日文、阿拉伯文。
-
未來可以換嗎?
-
你可以不換那八個字,不換有好處,為什麼有好處?我們的做法是,你選一個,你一輩子都不容易忘掉的,你要定期改一改key比較好,你可以選新的八個字,或是用舊的八個字就好了,但是用舊的話,產生出來的key完全不一樣,像你用12345678產生key,過了六個月、九個月,你說要改一次key,軟件問你要怎麼用,你可以用舊的12345678就好了,產生的key不一樣。
-
理解,但從使用者體驗上,跟1password設12345678是一樣的?
-
使用者體驗是一樣的,但從安全性來講不一樣。這個我們會跟使用者解釋。
-
我理解。
-
你說的那個12345678不存在任何地方,只存在你的腦袋裡面。
-
第二,12345678涵蓋所有的帳戶,你可以定期改你的key,這個12345678永遠都不必改,因此你就減少負擔了。
-
password manager有很多問題,一個最嚴重的問題是,我們沒有查所有的,但有些password manager,你在操作的時候,很喜歡把你的資料存在clipboard裡面,這個問題很嚴重了,我們自己寫的軟件,我忘記是哪一個password manager,你在操作它的時候,我們就把你的密碼偷出來給你看,這很嚴重,我們是沒有這個問題,是偷不到的。
-
最主要我們為了要符合一般使用者在過渡時期,大家都還在用password,這只是讓使用者在登錄的時候,避免要記那一些password的麻煩而已,實際上密碼還是一樣可能被偷,也可能從server被偷,也有可能被釣魚詐騙偷,都可能。
-
我們這個做到什麼地步你知道嗎?比如你覺得這個聽起來很不錯,想要試試看我們的產品。你下載我們的公司產品,我是駭客坐在你旁邊,我也下載產品,你要set up你的帳號,你登錄需要用的帳戶密碼,或是要把密碼廢除掉的話,就用LogonToken,你打一個字,我也打一個字,你設定完、我也設定完之後,你可以登入你的帳號,我不能登入你的帳戶,這跟密碼差別很大。
-
我理解。因為有一部分是在電腦裡面。
-
對。還有一點,在許多系統上要盜用Key都很簡單,相信像Apple跟Google都一樣,至少微軟我們看到是很嚴重的問題,太容易把它改掉,甚至是刪掉,太容易了,我們就可以這樣做,就可以把你的Key刪掉、改掉。
-
要怎麼不讓人家這樣做?
-
基本上還是要存在那裡,但我們有補救辦法,萬一你Key被改掉的話,可以重新灌進來。
-
可以匯入、匯出就是了?
-
對。基本上這個是所有幾十個產品,像FinTech、電子郵件等等,共用同一個Key就好了,我們經過這麼久的時間,才開發出一套通用的機制,本身產品並沒有那麼久。
-
你們大概有幾個程式設計師在寫?
-
現在不多,只有三個。
-
理解。
-
但是長年累積的有很多,像我本人從二十年前一直累積下來做出來的。
-
理解。
-
我們現在已經到一個地步了,基本上在認證的部分,都是套用原來的就好了,其他的個別應用就個別應用,你要轉帳就轉帳,我們只要提供認證的部分給他就好了。所以基本上哪一個單位、行業,可能缺什麼東西的話,我們通常在十天之內就可以提供demo。
-
有實際的案例嗎?
-
還沒有。因為資源有限,先只專注於第一個產品,我們現在已經能夠到一個相當完整的地步。
-
現在可以在哪一些品牌執行?
-
現在只能在Windows。目前是計劃在5月推出Android,iPhone早晚也要弄,但是目前還沒有計畫,要看我們的resource怎麼樣。還有一點,Android的APP並不是用手工做的,因為在windows上面VB比較容易create出來的,我們幾乎是自動從VB轉成Android的,我們花時間建這個平台,比創造Android的APP還花時間,我們當然以後不能每一個都這樣子,但是一般的,只要沒有牽涉到新的東西像video,我認為新的產品基本上90%以上都可以自動轉過去了。
-
現在我們針對這個產品,我們做一下然後再改一下,幾乎可以做到完整100%全自動轉換,這個有一點作弊,因為你一知道這邊有什麼問題,再把原來的平台改一改。基本上還是有好處,如果只是更改原來的產品,我們在這邊改一下的話,按一下按鍵,那邊就有了。
-
還有一個非常重要的平台,因為我們以前剛開始沒有這樣做,都是用手工做測試,那是很花時間,特別很複雜的。市面上也有類似產品,但是我們覺得不合我們用的,在理想的情況下,產品要弄出去,或是改了一個軟件之後,擔心是不是會有新的問題產生,只要按一下按鍵就好了,會自動檢驗產品的一切功能,pass就pass,可以放心。這個現在已經有了,還有其他很多好處,我們在debug產品的時候,好處太多了,我們開發產品的速度會加快很多。
-
我們現在估計,除了特別難、特別大的,我們應該是60個man-month,就可以create一個產品,demo是10天,基本上給你看功能,10天就可以了,我們現在覺得有相當自信,我們有這個機會,我們公司裡面的人都比較資深的,我自己已經71歲了,還來玩這個東西實在是……但是我覺得可以做,解決別人不能解決的問題,我就做,自我壓榨剩餘價值。
-
過去這麼多年,我也累積很多外在資源,現在在臺灣有三個單位很積極支持我們,一個是台美產業合作辦公室,因為我是美商,另外一個是資策會、一個是工研院,都很支持我們,現在要試我的產品。政委在臺灣的名聲非常地響亮,又是政委,我想以你的立場,說不定可以幫助我們,看有沒有比較合適的單位,可以跟他接洽。
-
我們不尋求政府資助,我們自己會找資金,我們不尋求政府直接間接投資公司,政府很多需要的東西,我們純粹是奉獻。如果臺灣政府直接需要的,我們專門為臺灣政府create的話,我們希望政府承擔成本,我們會按照政府的會計作業方式,我們用多少的人來做什麼,實銷實報。
-
另外,我們構想是這樣子,第一個產品有很多功能,好像真的很不錯,現在可以讓人家試用,證實的確不是亂講的,像其他什麼應用,比如我們現在看到醫療資料,因為我看到報導,全世界資料被偷最多的,並不是帳號密碼,而是醫療資料。
-
臺灣上個月有「智慧城市展覽」,我跟健保局、中華電信去談過,基本上我認為他們都有一些缺點,我們公司不想從這個獲利,只是大家一起結合共同的力量,若從臺灣出口到世界各國去,該收錢就收錢,如果有參與的話,共享就很容易,我們自己要做三個大的商業模式。
-
第一個,我們奪取Google的點閱廣告市場,Google的點閱廣告點一次就要付一次廣告費,這是非常不合理的,例如你每個月有10萬元美金預算在Google做廣告,我是你的競爭者,我寫一個軟件,每個月第一天、第一個小時就點你的廣告,Google沒有辦法確實防範,我們可以自動認證,所以我們打出的口號是:同一個人看同一個廣告,不管看多少次,只要付一次廣告費就好了,我認為這是很合理的,我認為我們公司去推動這個的話,對Google打擊很大。
-
第二個,我們要做的是行動廣告,行動廣告要怎麼做?我們可以讓所有的全世界各種社交APP溝通,所以很簡單,我們就把我們的專利免費讓他們用。
-
現在去找大公司,他不會理我,像找微信、LINE,他們不會理我們,我們有幾十個名單,像B咖、C咖的公司,他們使用者會慢慢流失,他們少的幾百萬用戶,多的有幾千萬用戶,朋友間不用相同的社交APP就不能溝通了,全部給他們免費用專利,那加起來幾十億個用戶,比大的社交APP還多,我說不收一毛錢,就讓你們用,但有一個條件,就是讓我插廣告,像在手機底下插廣告,廣告收費就跟你對分,要就來。
-
如果大社交APP公司要來也很歡迎,不收任何一毛錢。臉書都進不去中國大陸,要不要把廣告弄到中國大陸?塞到中國的手機裡面去。微信在中國用戶很多,但進不了歐美,我把微信的廣告塞到歐美那邊去,對他們有好處,而且如果這個跨社交APP溝通的局勢慢慢成長的話,對他們也有壓力,你在中國關起門來可以,可是人家全世界彼此可以溝通。
-
這個還不算,你現在要做社交APP的話,如果沒有大財力,可能很難跟那一些大公司競爭。可是我們要培植很多中小社交APP廠商,為什麼?我們創造一個標準的coding,他們不用寫coding,但我們讓他們下載各國文化的圖案或什麼,可以變成阿拉伯的風格、韓國的風格,或是美國的風格,表面上看起來好像是他們自己開發的,他們可以自取產品名稱例如ABCchat什麼的,都可以,可以彼此溝通,這個coding是我們創造的,這樣可以培植很多中小企業,他們找人去用就好了,一樣的,我們插廣告,一樣可以分享廣告營收,我們希望可以培植至少幾萬家。
-
還有一點,我過去在大陸布局很多,現在不去了,中國的官員當面跟我講微信用戶這麼多,中國政府很不喜歡太多人聚在一起,這個辦法就可以把微信拆了,但大陸不去了。我布局很久了,我準備很多年,從2004年,之前還很模糊,最近這幾年很多想法越來越清晰。
-
我過去在美國矽谷開過公司,我的用戶都是大公司,像IBM,現在跟以前的商業模式不一樣,以前他們自己是內部用的,比較簡單,但至少我知道大公司的想法怎麼樣,我很有經驗;現在如何把這個交給大公司,很多都是我天天在想的。
-
基本上在技術跟業務這一方面有兩個很有用的人,一個是管理心理博士學位的,他也很資深,有幾十年的業界經驗了,現在我們公司是策略營運長,常常代表的商會跟外界溝通,像外國或是北京到臺灣這邊來。
-
另外,有一個技術專家,也很不錯,那還不夠,我還有很多儲備人才,過去很多年,我累積很多名單,被我刷掉90%,所以現在10%都是菁英,這一些被我刷掉的,像宏碁的資深副總都被刷掉了,我覺得差不多了。
-
前一陣子收到美國聯邦政府的邀請信,6月去參加一個會議,有很多白宮的高層的官員會參加,所以我要去參加,他們特別針對資安這方面,我準備跟他們提出三個proposal,他們要的廢除密碼、帳戶實名資料、政府線上服務。
-
我們現在是多方進行,如果美國那邊有進展,我想對臺灣這邊也會有好處,基本上我們的重點還是希望把技術放在臺灣,美國那邊就維持一個全球的運作。
-
OK,很完整,非常感謝。
-
看政委是不是可以幫我們,是不是有什麼單位可以跟他們溝通、交流一下?像科技部或者是工業局?
-
你們現在的產品,目前還是在Windows上而已?
-
-
目前也不是好像瀏覽器的擴充套件,所以其實你登錄過程的使用者體驗會因此而改變。
-
這個我要強調一下,password manager一種是用build in的browser,一種是plug in,這個都不好,為什麼不好?對使用者不好,為什麼不好?第一個是有洩密的風險,build in的browser更不用講,你log in之後,他們什麼資料都可以存下來,用plug in的話,也可以把你的密碼存下來,他還很得意地跟你說,你若忘了密碼,他就告訴你,這個都不對的,我們的辦法是讓使用者自己選用browser,我們完全不動它的。
-
(108年4月29日林放補記,我們也不知道使用人的密碼,兩層加密,存在使用人的機器上,只有使用人才能打開。)
-
第一,我們很注重,絕對不改變使用者的使用經驗或習慣,不管是server或者是client,都一樣,我會再寄一些資料給你看,你如果要用密碼登入帳戶的話,是這樣做的,你選至少八個字,那就產生key了,這個是第一步。
-
第二,哪一個帳戶,帳戶的名稱是什麼,你登入的網址是什麼,也要告訴你使用的產品,存下來之後,就永遠也看不到了。
-
你要登入的時候,你可能設定了二十個帳戶,從帳戶列單裡面選一個,然後按一下 “登入” 按鍵,自動把你選用的瀏覽器打開了,自動打開了登入網頁,跟你原來的做法完全一模一樣,原來是要把那個網頁打開,對不對?這個有兩個資料需要輸入,我們的做法是這樣子,跟我們的軟件沒有關係,在登入的網頁上,移動滑鼠到要輸入帳號的地方,按兩個key,就是ctrl+v,你的帳號就會自動輸入,要enter password的地方,把滑鼠移到那個地方,按兩個key,就是alt+0,就把你的密碼自動輸入了,然後按一下登入鍵就登入了,所以對你來講,就是簡化讓你方便而已,完全沒有讓你改變使用者的習慣。
-
對server也是一樣,server可以用幾乎完全一模一樣的那個登錄網頁,如果沒有廢除密碼,用原來完全一模一樣的網頁就好了,如果廢除密碼,唯一的差別是在什麼地方?是在本來人家輸入密碼那個地方,改成輸入LogonToken,其他完全都沒有變,server也沒有什麼改變,使用者也完全沒有改變,這是我們很注重的。
-
你們自己有自己中間的server嗎?
-
沒有。他們各管各的,我們一向的做法是要open,不可能有任何一個第三方控管一切,不可能,絕對不work,我們強調我們是open environment。還有一點,我們鼓勵他們廢除密碼,任何再大的公司server,都是完全免費的。
-
但是web server這邊還是要改我的程式庫,讓他本來從資料庫可以認得你們的token,還是要改這一小段,對不對?
-
-
這一小段有範例嗎?
-
有。我們有一個軟體叫做「nicePass_server」給server廢除密碼用的,這部分就是專門在認證身分的,所以原本的server不必管,LogonToken就是由nicePass_server產生和認證,如果繼續用密碼的話,跟nicePass_server沒有關係。
-
(108年4月29日林放補記,LogonToken可以存在獨立的database,跟原來帳戶的database完全分開。我們建議,過度時期server可以並用password及LogonToken,對LogonToken產生信心後,適時把password廢除,徹底解決password的問題。)
-
我的意思是,因為你是回過頭來跟,你是9412,是有一個port,等於是打開了,等於去做認證用的,對不對?
-
-
如果使用端是在一個防火牆後面,伺服器有可能需要再連回來這邊嗎?
-
我瞭解您的意思,我們provide這個server是認證身分,認證好之後的話,會送到原來管帳戶的server,這個帳戶已經認證了,你要給他看網頁,就送過去給他。我們會有sample。
-
但是大部分是用所謂的NAT,是在防火牆後面……
-
(108年4月29日林放補記,原來管帳戶的server不需回來找與nicePass_server溝通的客戶端電腦,直接以原來登錄網頁讓客戶端登錄就好。)
-
我們跟工研院、資策會現在開始進行試用。
-
對,我覺得這可能要先釐清技術問題,不然每一個人一定要有public IP,才可以變成client。
-
沒有。
-
(108年4月29日林放補記,沒有IP問題。)
-
我的具體建議是:因為現在很多的認證是用一些公開的標準,可能會需要符合現有的API,好比像是FIDO2。如果要抽換成這個,或者本來是用nginx或apache的某個認證模組,你可能只要有一個改一行就換成你們的模組。
-
因為目前手動改這一段,大部分的網管是沒有能力的,因為當年不是開發者,只是把別人寫好的拿來用而已,好比像架一個wordpress,我也不會改wordpress,也就是要讓它抽換,像防火牆的設置很麻煩,看是不是有可能走port 443或者是別的方法,讓它比較容易設定一點,不然在一些尤其是企業的用戶裡面,他們的網管很難為了你們多開一個端口。
-
(108年4月29日林放補記,並未要求管帳戶的server再開任何新的port。)
-
這個可以看看。
-
我覺得如果有很具體可行的,可以demo的,尤其如果server這邊有一個很公開的,可能放在一些github或者一些地方,我覺得那比較容易。
-
大家會覺得可以解決問題,如果還可以接受的,我們儘量小一些可以接受的地方。我想時間也差不多了,謝謝。
-
謝謝您,很高興。
-
謝謝您提供這麼寶貴的時間。剛剛的提的問題,我們會再email給您參考,到一個階段後再向您請教。