複選題
14. 身分驗證機制是利用帳戶密碼進行作為識別使用者的機制， 是多數資訊系統驗證使用者身分的基礎。關於身分驗證機制 的敘述，下列那些正確？(複選)
(A) 設定「最小密碼長度」的原則主要是要產生更多的 密碼組合，提高被破解的難度。美國國家標準暨技 術研究院(National Institute of Standards and Technology, NIST)建議最小長度為 8 個字元
(B) 設定「密碼歷程記錄」的原則為了方便使用者自己 找到以前使用過的密碼
(C) 設定「密碼最短使用效期」的原則是指該密碼必須 使用一段時間後才能再次進行變更，通常是配合密 碼歷程機制啟用
(D) 「圖形驗證碼」是設計一組對人類能夠輕易回答而 對電腦是困難的題目，以作為區分執行動作的是電 腦還是人類的行為

(A) 設定「最小密碼長度」的原則主要是要產生更多的密碼組合，提高被破解的難度。美國國家標準暨技術研究院(National Institute of Standards and Technology, NIST)建議最小長度為 8 個字元

此敘述是 正確 的。

設定最小密碼長度可以增加密碼的可能組合數量，提升暴力破解的難度。NIST 確實建議密碼的最小長度為 8 個字元，以確保基本的安全性。

5.1.1.1 Memorized Secret Authenticators

Memorized secrets SHALL be at least 8 characters in length if chosen by the subscriber. Memorized secrets chosen randomly by the CSP or verifier SHALL be at least 6 characters in length and MAY be entirely numeric. If the CSP or verifier disallows a chosen memorized secret based on its appearance on a blacklist of compromised values, the subscriber SHALL be required to choose a different memorized secret. No other complexity requirements for memorized secrets SHOULD be imposed. A rationale for this is presented in Appendix A Strength of Memorized Secrets.

https://pages.nist.gov/800-63-3/sp800-63b.html

(B) 設定「密碼歷程記錄」的原則為了方便使用者自己找到以前使用過的密碼

此敘述是 錯誤 的。

密碼歷程記錄的目的在於 防止使用者重複使用先前的密碼，提高密碼的安全性，避免攻擊者利用已知的舊密碼取得未來的訪問權限。並非為了方便使用者查找舊密碼。

(C) 設定「密碼最短使用效期」的原則是指該密碼必須使用一段時間後才能再次進行變更，通常是配合密碼歷程機制啟用

此敘述是 正確 的。

密碼最短使用期限設定要求使用者在更改密碼後，必須等待一段最短時間才能再次更改密碼。這通常與密碼歷程記錄一起使用，以防止使用者快速更改密碼多次，繞過密碼歷程的限制。

(D) 「圖形驗證碼」是設計一組對人類能夠輕易回答而對電腦是困難的題目，以作為區分執行動作的是電腦還是人類的行為

此敘述在此情境下是 不適用 的。

圖形驗證碼（CAPTCHA）確實用於區分人類和機器，但它主要是 防止自動化機器人進行惡意活動，如防止垃圾留言或防止機器人註冊帳號。它 不屬於身分驗證機制，因為它 不驗證使用者的身份，而是驗證行為是否由人類執行。因此，在討論身分驗證機制時，此選項並不適用。

答案釋疑後為A和C。
資料來源：https://www.ipas.org.tw/ise/AbilityNewsData.aspx?nwsno=88247444-154e-4e3b-8860-b96e55173072&mnuno=00000000-0000-0000-0000-000000000000