我很簡單說明一下，我上次3月的那一份文件沒有寫得很清楚，基本上我的想法是，我公司是在美國登記的，我有一個專利，美國已經通過了，PCT也代表148個國家認同符合專利條件，所以歐盟、中國應該沒有什麼問題。

這個專利是什麼？因為從1995年，至少從那個時候，Yahoo崛起之後，Internet有很多問題，比如垃圾電子郵件太多、密碼被偷、網路付費盜刷，還有恐攻資訊及勒索郵件，所有的問題追根究底，我認為都只有一個，也就是認證身分，誰在做這一件事，如果能夠認證身分，不能造假的話，就會全部斷絕，至少會少很多，我的專利就是在做這個事情。

在治安方面，可以解決很多的問題，在市場方面也可以開發很多的市場，我這麼講好了，像大家講了很多FinTech，FinTech最根本的要求就是在認證身分，認證身分還不夠，還要在開放的環境內運作，什麼是開放的環境？對我們來講，我們專利不同的應用有不同的說法，我舉一個比較明顯的例子，像現在臺灣大部分的人用LINE，要溝通的話，彼此都用LINE，大陸都是用微信，我的專利可以讓微信、LINE等等的社交APP彼此溝通。

另外，講到FinTech好了，我們會創造一個open environment，任何一個金融機構要加入的話，彼此不必事先這一家銀行跟那一家銀行說要溝通，不用，只要符合這個open environment的簡單要求，就可以放到全世界，讓銀行隨時加入或隨時退出，我們的構想是這樣子。

我是在臺灣出生的，我是1973年新竹交大畢業，後來我到美國去，我先在UC Santa Barbra拿到碩士，再到UC Berkeley去，現在公司主要的成員都是臺灣籍的，有一些是美籍的，我自己是美籍，我們很想利用這個機會，想要在臺灣打造一個全世界技術最先進的網際網路島，營運中心還是在會矽谷那裡，我們認為最近這幾年臺灣的年輕人士氣比較低落，在台灣開發的產品，全世界各國政府都可以用，又可以開發這麼多的市場出來，希望可以鼓舞臺灣的年輕人。

第二，現在大家都知道，以前Google、Yahoo逃稅到開曼群島去設公司，現在都不行了，現在有OECD，所以我們在臺灣這一個部門的人越多的話，我們全世界的營收繳給臺灣的稅就越多，這個是我的想法。

現在比較重要的專利是ESCOE(US 9,667,605 B2)，其實專利文件當中，都故意不是寫得很清楚，都寫得比較模糊一點，如果真正要瞭解的話，是要看technical spec，才知道我們可以怎麼樣認證，我們是用加密學，最主要的是自動，自動很重要。公開加密學有四十年的歷史了，技術很成熟了，現在不能充分利用是因為不能拿到公開金鑰，拿到也不知道是真的或者是假的，這個是我們要解決的問題。

我們有四個專利，我舉一個聽起來不可思議，但是講出來又沒有什麼的專利，說不定會比較容易接受。我們第一個專利是中國、歐盟跟美國的證書都已經拿到了，這個專利是我們要遏止垃圾電子郵件，現在全世界通用的標準是SMTP，我1978年在Berkeley唸研究所的時候，跟我同期的同學在當時提出一個概念。

現在變成是全世界的標準，他的觀念犯了一個錯誤，以當時來講不算有錯，但是以今天來講，犯了一個根本的錯誤，犯了什麼錯誤？把電子郵件當作傳統信在送收，什麼是傳統的信？像我人到臺灣，我打算在臺灣成立一個公司，我的家人在美國，我要寫信給他，我要拿信紙跟信封寫信，讓郵局把信寄到我家人的信箱去，現在電子郵件SMTP也是一模一樣的方式，如果要送電子郵件給你的話，我要怎麼做？我的電子郵件要傳給我的server，我的電腦就可以關了，我的server就根據你的email address送到你的incoming box，等你從incoming box看信，這一種做法，電子郵件跟傳統信的做法是完全一模一樣的，這種做法是錯誤的，為什麼是錯誤的？

電子郵件跟傳統郵件的最大差別是什麼地方？就是快，對不對？講快還不精確，像國際的郵件，從臺灣到美國要一個禮拜的話，假使七個小時可以送到也是很快，七個小時搭飛機還送不了，對不對？在正常的情況之下，電子郵件要送給任何一個人，不管這個郵件是在世界上的哪一個角落，通常在1至3秒都看得到，對不對？所以電子郵件快，快什麼程度？是叫做「即時性」。

所以全世界通用四十年的STMP標準，沒有用到最重要的特性，拿到中國、美國、歐盟的專利就是要用到即時性，怎麼用呢？送信收信的人分不出差別的，系統改了也完全不知道，我上傳電子郵件給我的server，差別從這裡開始，本來我的server送電子郵件到你的信箱裡面去，對不對？我說不可以這樣子，我的server把我的電子郵件扣在我的server上，不送出去，只自動產生一個通知給你，什麼人幾月幾日，有電子郵件給你看，你要不要？這個通知是送到你的信箱那裡去沒有錯，但沒有內容的，如果你想要看內容，是跑到我的server來看信，因為即時性，你不需要那張紙擺在你手中，摸得到，你隨時看得到。

蘋果現在已經實作這個了，叫Mail Drop。

我相信那個有一點不太一樣。

確實，它是以儲存大型附件為主。

如果這樣的話，我要去看看，我這個專利申請得很早，要看看有沒有侵犯到我的專利。

可以看一下。目前還活躍，這個專利還沒有過期？

我2004年就申請了，但是重點是被專利局拖了很久，但是沒有關係。

我再補充一下，拿恐怖分子來當比喻，現在SMTP有一點像讓恐怖分子把炸彈包裹寄到受害人的家裡去，受害人打開受害，恐怖分子可以抓得到，但是要花時間，幾年前我看到報導，Yahoo每一天要過濾三十億個電子郵件，Gmail更多了。現在我的專利不是這樣子，恐怖分子要把炸彈包裹留在自己這邊，然後通知人來領這個炸彈包裹，世界上沒有這樣的恐怖分子，等人家來領就是等人家去檢舉他。

加州在十五年前就通過法律了，一封垃圾電子郵件要罰1,000元美元，我這一種辦法，別人不敢亂送垃圾電子郵件了，人家說不要再送，如果還繼續送的話，人家會去告他跟抓他，所以我認為這個遏止作用可以消掉很多垃圾電子郵件。

再看一下，其實有很多優點，電子郵件留在送信的server這邊，假設電子郵件送給100個人，然後再給1萬個人，接著是100萬個人，每個人都要跑到送信的server來看這一封信，信不是一直丟出去的，都要跑到這邊來看的，所以如果發現信有問題的話，把單一的信控制住就好了。

更進一步的話，你只要過濾這一封等人來看的電子郵件就好了，不要等信送到幾萬個、幾十萬個人那裡，然後大家來過濾許多相同的電子郵件，都不要，過濾一封就好了。

我理解。

就有很多好處，當然技術問題要解決，如果電子郵件送到你的信箱去，因為你有帳戶、密碼，你的server才能讓你看信，你跑到我的server來看信，我的server不曉得你是誰，怎麼可以讓你看信？所以要怎麼樣？你在我的server這邊沒有設立帳戶，也可以自動認證你的身份。

這個我理解。

現在我的想法是，因為總總的原因，我是一個很有耐心的人，從2004年開始申請這個專利，就覺得很多問題要解決，已經15年了，我也不急，我們沒有把它弄到完全，就不推出去，因為我年紀也大了，對名利也沒有什麼追求，我想為這個社會做一點事，有機會可以讓臺灣在國際上抬頭。

像這一些資安的系統，很多美國政府都需要用的，美國在2011年就想要用實名制，但那是不合理，所以美國很多人權團體都反對，到現在都沒有結果，我的辦法並不是這樣子，我的辦法是「實名追溯制」，你在Google、Yahoo上開帳戶的話，可以完全匿名，Google都不知道你是誰，不應該問東、問西，像你的手機號碼是什麼，都不應該的，那個是隱私的資料。

我的辦法是這樣子：什麼地方已經有實名資料？像銀行最多，經過幾十年，他們已經累積很多，我的辦法是用加密學，把你的Google帳號跟銀行的帳號認證連結在一起，不能造假，Google不知道你銀行的帳號，只知道在哪一家銀行有帳戶而已，銀行只知道你在Google有帳戶，不知道你Google的帳號是什麼，平常愛用google帳戶做什麼就做什麼，如果有問題的話，檢調單位依照法律；我漏掉了，我再講一下。

你在Google開一個帳戶，你把銀行的帳號用銀行的公開金鑰加密起來，只有銀行才能打開，Google知道是哪一家銀行，就把它送過去，銀行把它打開，知道你是誰，就把你的公開金鑰交給Google。

瑞典就是這樣做，就是BankID，這個是現在瑞典有在用的。

這樣做的話，平常你完全沒有問題，一有問題的話，檢調的單位叫Google把加密起來的銀行帳號交出來，去找銀行打開，就知道是誰。

這個我理解。

倒過來，如果已經是黑名單的人物，像美國前一陣子有恐攻份子，法國也有，他們說罪犯已是黑名單人物，但是沒有辦法事先防範作案，我的專利技術可以事先把黑名單人物的匿名帳戶全部找出來，可以事先監控，什麼時候買什麼東西，像什麼時候買爆炸物都可以知道，因此可以事先預防，這是美國從2011年開始，他們沒有想這麼多，他想要實名制，但是我認為那是不合理的，實名追溯制比較合理。

中國政府2012年年底就通過網路帳戶實名的立法了，但是名存實亡，只是讓那一些網路服務公司說要用實名制，因此要求很多隱私資料、手機號碼，但那不合理的，侵犯隱私太厲害。

美國一直很想要的東西還有政府要提供線上服務，最重要的是，你不需要人家當場把有照的證件拿出來給你看，中國那邊有好幾個省市，向中央政府畫押，在明年要全部都可以提供線上服務，他們如果沒有比較好的技術，也是跟實名制一樣。我們可以解決的問題，除了業界，政府也都很需要的。

另外，美國也很需要的，從2015年大概已經四年前了，他們想要廢除帳戶密碼，那時美國聯邦政府被偷得很厲害，偷到人事部的主任都下台，我講了這麼多，我選一個最基本的，就是要先把密碼廢除掉，當然還有很多特別的優點，不只這樣子而已。

上次你有回信，問說是不是可以考慮跟跟1password合作。

主要是很多人在用，目前比WebAuthn（Web Authentication API）普及。

1password基本上跟我們的產品不一樣，我們是要把密碼整個廢除掉，但是他們沒有。一開始大家用很多的帳戶，server沒有廢除密碼，客戶端就不能廢除密碼，所以我們有一個附加的功能，就等於是password manager，但是我們有一個地方不一樣，top 10的password manager都去看過了，他們基本上用一個main password把所有的password包裝起來。

其實也可以用Touch ID這一類的機制，像Chrome瀏覽器就內建WebAuthn的指紋感應支援。

對，它也可以。

或者別的biometric，反正就是用某個factor。

對，都可以，但是我看到很多都是用main password，如果main password被偷的話，所有的帳戶密碼就被偷了。

現在很多是用手機是用指紋，或者像Macbook Pro也有指紋感應。

那其實都沒有什麼問題，我們以後也會，現在沒有弄，我們的看法是，生物辨識這一些東西，對我們來講是補助性的，有些場合為了方便可用，因為基本上還是屬於artificial，都有可能造假，只有加密學這一種是數學。

但是你的私人金鑰，除非你背得起來，否則其實很長？

不用背，都是自動產生、自動輸出的。

表示存在磁碟某一個地方。

對。

你把它解開，通常要一組密碼。

我們有很特殊的方式，你現在提出這個問題，我跟你講，資安不能做到百分之百，我們是把破解的難度做到極致。每個user，都有好幾組的key，為什麼？因為要針對server，server按照美國的法律，不同的國家，政府用的商用的，key的長度限制都不同。

這個我理解。

這個還不算，真正要認證用的key，我們沒有存在這個電腦上，我們一產生就會delete掉，我們要存在什麼地方？我們存在硬碟裡面，我們不讓人家偷，我們產生一個在device的key，先把認證用的key第一層加密起來。第二層是用我們獨有的salting hash包裝起來。

但是你要取用的時候，你還是要打一個passphrase不是嗎？

當然要打。我的做法是，就是一開始要使用軟件的話，你就選至少八個字，我們用這個來產生key，這不是密碼，你選了至少八個字，任何語言可以混在一起，中文、英文、日文、阿拉伯文。

未來可以換嗎？

你可以不換那八個字，不換有好處，為什麼有好處？我們的做法是，你選一個，你一輩子都不容易忘掉的，你要定期改一改key比較好，你可以選新的八個字，或是用舊的八個字就好了，但是用舊的話，產生出來的key完全不一樣，像你用12345678產生key，過了六個月、九個月，你說要改一次key，軟件問你要怎麼用，你可以用舊的12345678就好了，產生的key不一樣。

理解，但從使用者體驗上，跟1password設12345678是一樣的？

使用者體驗是一樣的，但從安全性來講不一樣。這個我們會跟使用者解釋。

我理解。

你說的那個12345678不存在任何地方，只存在你的腦袋裡面。

第二，12345678涵蓋所有的帳戶，你可以定期改你的key，這個12345678永遠都不必改，因此你就減少負擔了。

password manager有很多問題，一個最嚴重的問題是，我們沒有查所有的，但有些password manager，你在操作的時候，很喜歡把你的資料存在clipboard裡面，這個問題很嚴重了，我們自己寫的軟件，我忘記是哪一個password manager，你在操作它的時候，我們就把你的密碼偷出來給你看，這很嚴重，我們是沒有這個問題，是偷不到的。

最主要我們為了要符合一般使用者在過渡時期，大家都還在用password，這只是讓使用者在登錄的時候，避免要記那一些password的麻煩而已，實際上密碼還是一樣可能被偷，也可能從server被偷，也有可能被釣魚詐騙偷，都可能。

我們這個做到什麼地步你知道嗎？比如你覺得這個聽起來很不錯，想要試試看我們的產品。你下載我們的公司產品，我是駭客坐在你旁邊，我也下載產品，你要set up你的帳號，你登錄需要用的帳戶密碼，或是要把密碼廢除掉的話，就用LogonToken，你打一個字，我也打一個字，你設定完、我也設定完之後，你可以登入你的帳號，我不能登入你的帳戶，這跟密碼差別很大。

我理解。因為有一部分是在電腦裡面。

對。還有一點，在許多系統上要盜用Key都很簡單，相信像Apple跟Google都一樣，至少微軟我們看到是很嚴重的問題，太容易把它改掉，甚至是刪掉，太容易了，我們就可以這樣做，就可以把你的Key刪掉、改掉。

要怎麼不讓人家這樣做？

基本上還是要存在那裡，但我們有補救辦法，萬一你Key被改掉的話，可以重新灌進來。

可以匯入、匯出就是了？

對。基本上這個是所有幾十個產品，像FinTech、電子郵件等等，共用同一個Key就好了，我們經過這麼久的時間，才開發出一套通用的機制，本身產品並沒有那麼久。

你們大概有幾個程式設計師在寫？

現在不多，只有三個。

理解。

但是長年累積的有很多，像我本人從二十年前一直累積下來做出來的。

理解。

我們現在已經到一個地步了，基本上在認證的部分，都是套用原來的就好了，其他的個別應用就個別應用，你要轉帳就轉帳，我們只要提供認證的部分給他就好了。所以基本上哪一個單位、行業，可能缺什麼東西的話，我們通常在十天之內就可以提供demo。

有實際的案例嗎？

還沒有。因為資源有限，先只專注於第一個產品，我們現在已經能夠到一個相當完整的地步。

現在可以在哪一些品牌執行？

現在只能在Windows。目前是計劃在5月推出Android，iPhone早晚也要弄，但是目前還沒有計畫，要看我們的resource怎麼樣。還有一點，Android的APP並不是用手工做的，因為在windows上面VB比較容易create出來的，我們幾乎是自動從VB轉成Android的，我們花時間建這個平台，比創造Android的APP還花時間，我們當然以後不能每一個都這樣子，但是一般的，只要沒有牽涉到新的東西像video，我認為新的產品基本上90％以上都可以自動轉過去了。

現在我們針對這個產品，我們做一下然後再改一下，幾乎可以做到完整100%全自動轉換，這個有一點作弊，因為你一知道這邊有什麼問題，再把原來的平台改一改。基本上還是有好處，如果只是更改原來的產品，我們在這邊改一下的話，按一下按鍵，那邊就有了。

還有一個非常重要的平台，因為我們以前剛開始沒有這樣做，都是用手工做測試，那是很花時間，特別很複雜的。市面上也有類似產品，但是我們覺得不合我們用的，在理想的情況下，產品要弄出去，或是改了一個軟件之後，擔心是不是會有新的問題產生，只要按一下按鍵就好了，會自動檢驗產品的一切功能，pass就pass，可以放心。這個現在已經有了，還有其他很多好處，我們在debug產品的時候，好處太多了，我們開發產品的速度會加快很多。

我們現在估計，除了特別難、特別大的，我們應該是60個man-month，就可以create一個產品，demo是10天，基本上給你看功能，10天就可以了，我們現在覺得有相當自信，我們有這個機會，我們公司裡面的人都比較資深的，我自己已經71歲了，還來玩這個東西實在是……但是我覺得可以做，解決別人不能解決的問題，我就做，自我壓榨剩餘價值。

過去這麼多年，我也累積很多外在資源，現在在臺灣有三個單位很積極支持我們，一個是台美產業合作辦公室，因為我是美商，另外一個是資策會、一個是工研院，都很支持我們，現在要試我的產品。政委在臺灣的名聲非常地響亮，又是政委，我想以你的立場，說不定可以幫助我們，看有沒有比較合適的單位，可以跟他接洽。

我們不尋求政府資助，我們自己會找資金，我們不尋求政府直接間接投資公司，政府很多需要的東西，我們純粹是奉獻。如果臺灣政府直接需要的，我們專門為臺灣政府create的話，我們希望政府承擔成本，我們會按照政府的會計作業方式，我們用多少的人來做什麼，實銷實報。

另外，我們構想是這樣子，第一個產品有很多功能，好像真的很不錯，現在可以讓人家試用，證實的確不是亂講的，像其他什麼應用，比如我們現在看到醫療資料，因為我看到報導，全世界資料被偷最多的，並不是帳號密碼，而是醫療資料。

臺灣上個月有「智慧城市展覽」，我跟健保局、中華電信去談過，基本上我認為他們都有一些缺點，我們公司不想從這個獲利，只是大家一起結合共同的力量，若從臺灣出口到世界各國去，該收錢就收錢，如果有參與的話，共享就很容易，我們自己要做三個大的商業模式。

第一個，我們奪取Google的點閱廣告市場，Google的點閱廣告點一次就要付一次廣告費，這是非常不合理的，例如你每個月有10萬元美金預算在Google做廣告，我是你的競爭者，我寫一個軟件，每個月第一天、第一個小時就點你的廣告，Google沒有辦法確實防範，我們可以自動認證，所以我們打出的口號是：同一個人看同一個廣告，不管看多少次，只要付一次廣告費就好了，我認為這是很合理的，我認為我們公司去推動這個的話，對Google打擊很大。

第二個，我們要做的是行動廣告，行動廣告要怎麼做？我們可以讓所有的全世界各種社交APP溝通，所以很簡單，我們就把我們的專利免費讓他們用。

現在去找大公司，他不會理我，像找微信、LINE，他們不會理我們，我們有幾十個名單，像B咖、C咖的公司，他們使用者會慢慢流失，他們少的幾百萬用戶，多的有幾千萬用戶，朋友間不用相同的社交APP就不能溝通了，全部給他們免費用專利，那加起來幾十億個用戶，比大的社交APP還多，我說不收一毛錢，就讓你們用，但有一個條件，就是讓我插廣告，像在手機底下插廣告，廣告收費就跟你對分，要就來。

如果大社交APP公司要來也很歡迎，不收任何一毛錢。臉書都進不去中國大陸，要不要把廣告弄到中國大陸？塞到中國的手機裡面去。微信在中國用戶很多，但進不了歐美，我把微信的廣告塞到歐美那邊去，對他們有好處，而且如果這個跨社交APP溝通的局勢慢慢成長的話，對他們也有壓力，你在中國關起門來可以，可是人家全世界彼此可以溝通。

這個還不算，你現在要做社交APP的話，如果沒有大財力，可能很難跟那一些大公司競爭。可是我們要培植很多中小社交APP廠商，為什麼？我們創造一個標準的coding，他們不用寫coding，但我們讓他們下載各國文化的圖案或什麼，可以變成阿拉伯的風格、韓國的風格，或是美國的風格，表面上看起來好像是他們自己開發的，他們可以自取產品名稱例如ABCchat什麼的，都可以，可以彼此溝通，這個coding是我們創造的，這樣可以培植很多中小企業，他們找人去用就好了，一樣的，我們插廣告，一樣可以分享廣告營收，我們希望可以培植至少幾萬家。

還有一點，我過去在大陸布局很多，現在不去了，中國的官員當面跟我講微信用戶這麼多，中國政府很不喜歡太多人聚在一起，這個辦法就可以把微信拆了，但大陸不去了。我布局很久了，我準備很多年，從2004年，之前還很模糊，最近這幾年很多想法越來越清晰。

我過去在美國矽谷開過公司，我的用戶都是大公司，像IBM，現在跟以前的商業模式不一樣，以前他們自己是內部用的，比較簡單，但至少我知道大公司的想法怎麼樣，我很有經驗；現在如何把這個交給大公司，很多都是我天天在想的。

基本上在技術跟業務這一方面有兩個很有用的人，一個是管理心理博士學位的，他也很資深，有幾十年的業界經驗了，現在我們公司是策略營運長，常常代表的商會跟外界溝通，像外國或是北京到臺灣這邊來。

另外，有一個技術專家，也很不錯，那還不夠，我還有很多儲備人才，過去很多年，我累積很多名單，被我刷掉90％，所以現在10％都是菁英，這一些被我刷掉的，像宏碁的資深副總都被刷掉了，我覺得差不多了。

前一陣子收到美國聯邦政府的邀請信，6月去參加一個會議，有很多白宮的高層的官員會參加，所以我要去參加，他們特別針對資安這方面，我準備跟他們提出三個proposal，他們要的廢除密碼、帳戶實名資料、政府線上服務。

我們現在是多方進行，如果美國那邊有進展，我想對臺灣這邊也會有好處，基本上我們的重點還是希望把技術放在臺灣，美國那邊就維持一個全球的運作。

OK，很完整，非常感謝。

看政委是不是可以幫我們，是不是有什麼單位可以跟他們溝通、交流一下？像科技部或者是工業局？

你們現在的產品，目前還是在Windows上而已？

對。

目前也不是好像瀏覽器的擴充套件，所以其實你登錄過程的使用者體驗會因此而改變。

這個我要強調一下，password manager一種是用build in的browser，一種是plug in，這個都不好，為什麼不好？對使用者不好，為什麼不好？第一個是有洩密的風險，build in的browser更不用講，你log in之後，他們什麼資料都可以存下來，用plug in的話，也可以把你的密碼存下來，他還很得意地跟你說，你若忘了密碼，他就告訴你，這個都不對的，我們的辦法是讓使用者自己選用browser，我們完全不動它的。

(108年4月29日林放補記，我們也不知道使用人的密碼，兩層加密，存在使用人的機器上，只有使用人才能打開。)

第一，我們很注重，絕對不改變使用者的使用經驗或習慣，不管是server或者是client，都一樣，我會再寄一些資料給你看，你如果要用密碼登入帳戶的話，是這樣做的，你選至少八個字，那就產生key了，這個是第一步。

第二，哪一個帳戶，帳戶的名稱是什麼，你登入的網址是什麼，也要告訴你使用的產品，存下來之後，就永遠也看不到了。

你要登入的時候，你可能設定了二十個帳戶，從帳戶列單裡面選一個，然後按一下 “登入” 按鍵，自動把你選用的瀏覽器打開了，自動打開了登入網頁，跟你原來的做法完全一模一樣，原來是要把那個網頁打開，對不對？這個有兩個資料需要輸入，我們的做法是這樣子，跟我們的軟件沒有關係，在登入的網頁上，移動滑鼠到要輸入帳號的地方，按兩個key，就是ctrl+v，你的帳號就會自動輸入，要enter password的地方，把滑鼠移到那個地方，按兩個key，就是alt＋0，就把你的密碼自動輸入了，然後按一下登入鍵就登入了，所以對你來講，就是簡化讓你方便而已，完全沒有讓你改變使用者的習慣。

對server也是一樣，server可以用幾乎完全一模一樣的那個登錄網頁，如果沒有廢除密碼，用原來完全一模一樣的網頁就好了，如果廢除密碼，唯一的差別是在什麼地方？是在本來人家輸入密碼那個地方，改成輸入LogonToken，其他完全都沒有變，server也沒有什麼改變，使用者也完全沒有改變，這是我們很注重的。

你們自己有自己中間的server嗎？

沒有。他們各管各的，我們一向的做法是要open，不可能有任何一個第三方控管一切，不可能，絕對不work，我們強調我們是open environment。還有一點，我們鼓勵他們廢除密碼，任何再大的公司server，都是完全免費的。

但是web server這邊還是要改我的程式庫，讓他本來從資料庫可以認得你們的token，還是要改這一小段，對不對？

對。

這一小段有範例嗎？

有。我們有一個軟體叫做「nicePass_server」給server廢除密碼用的，這部分就是專門在認證身分的，所以原本的server不必管，LogonToken就是由nicePass_server產生和認證，如果繼續用密碼的話，跟nicePass_server沒有關係。

（108年4月29日林放補記，LogonToken可以存在獨立的database，跟原來帳戶的database完全分開。我們建議，過度時期server可以並用password及LogonToken，對LogonToken產生信心後，適時把password廢除，徹底解決password的問題。）

我的意思是，因為你是回過頭來跟，你是9412，是有一個port，等於是打開了，等於去做認證用的，對不對？

對。

如果使用端是在一個防火牆後面，伺服器有可能需要再連回來這邊嗎？

我瞭解您的意思，我們provide這個server是認證身分，認證好之後的話，會送到原來管帳戶的server，這個帳戶已經認證了，你要給他看網頁，就送過去給他。我們會有sample。

但是大部分是用所謂的NAT，是在防火牆後面……

我們跟工研院、資策會現在開始進行試用。

對，我覺得這可能要先釐清技術問題，不然每一個人一定要有public IP，才可以變成client。

沒有。

我的具體建議是：因為現在很多的認證是用一些公開的標準，可能會需要符合現有的API，好比像是FIDO2。如果要抽換成這個，或者本來是用nginx或apache的某個認證模組，你可能只要有一個改一行就換成你們的模組。

因為目前手動改這一段，大部分的網管是沒有能力的，因為當年不是開發者，只是把別人寫好的拿來用而已，好比像架一個wordpress，我也不會改wordpress，也就是要讓它抽換，像防火牆的設置很麻煩，看是不是有可能走port 443或者是別的方法，讓它比較容易設定一點，不然在一些尤其是企業的用戶裡面，他們的網管很難為了你們多開一個端口。

這個可以看看。

我覺得如果有很具體可行的，可以demo的，尤其如果server這邊有一個很公開的，可能放在一些github或者一些地方，我覺得那比較容易。

大家會覺得可以解決問題，如果還可以接受的，我們儘量小一些可以接受的地方。我想時間也差不多了，謝謝。

謝謝您，很高興。

謝謝您提供這麼寶貴的時間。剛剛的提的問題，我們會再email給您參考，到一個階段後再向您請教。