零基資安訓練營(二十七):人與電腦之互動,應成系統的核心組件
文:薯伯伯
有一句說話,在資訊保安界別裡面算是老生常談,那句說話是:「保安系統裡最大的漏洞是用家本身。」這句話的意思,是說即使保安如何森嚴,只要有人類存在,就總會犯錯誤。
其實想深一層,這句話可以是對,也可以是錯,更可能反映了系統設計者與使用者之間缺少了應有的互動。其中較近期的例子,是在 2020 年美國花旗銀行的職員誤把化妝品公司原定向債權人支付的 800 萬美元貸款利息,錯誤輸入為還款 9 億美元,導致嚴重虧損(詳情請看 https://hk.appledaily.com/international/20210217/SYSVBALFJZB2JP5M3FHHRHAKNU/)。
聽起來好像是職員的問題,應驗了「保安系統裡最大的漏洞是用家本身」,但在設計系統時,如果程式員、管理層與用家多作協調,就可能預測到用戶有機會錯誤把還款金額與利息金額混淆,在設計程式之時,已經能自動避免類似錯誤。如果把一切的錯誤都怪罪於使用者,雖然也是事實,但卻忽略了人類與電腦之間的互動(HCI,Human Computer Interaction)。
我警惕自己在撰文推廣資訊保安時,也應避免踩入類似的誤區。有讀者跟我說,太多保安措施,反而無從入手,又或會有「防賊疲勞」。原則上保安的措施應該要方便易用,成為讀者日常生活的一部份,級別越高越好,但如果用家根本無法適應,是否可以按使用者個人的適應能力,再作相應調整?
我的資訊保安文章,雖然想儘量做到「零基礎」,但有時也會把一些基礎知識當作「人所皆知」的常識,部份讀者未必能跟隨。反而想提及兩個小例子,算是示範了因應不同人的情況,而給出更符合當事人使用習慣的保安方式。
一,長者的手機密碼
話說有次遇到一位長者,手機完全不設開機密碼,說是因為擔心記不住,用 Touch ID 又不方便(指模不清),手機又沒有 Face ID。我之前寫過一篇文章,提及密碼要有 11 個位或以上才算較為安全,但現在面對的,是一位連開機密碼都嫌多的長者。
長者說自己的手機「沒有任何秘密」,但我問長者,如果有壞人檢到手機,打開他的 WhatsApp,發訊息給他朋友騙財匯款買點數卡之類,他的朋友會否上當。長者猶豫了,最後決定使用密碼。
但這組密碼,只有四個位,而且是舊居電話的最後四位數字。這個保安級別當然不足,但以他的情況,最大的風險只是別人檢到手機,而不是面對以色列貴價軟件的入侵,那麼這個措施,總比完全不設防好。如此的保安方法不佳,但也算是與用戶互動及商量之後,採取一個較為折衷的方法。
二,電郵的二步認證
有一位朋友,本身對電腦不熟悉,電子郵箱的密碼寫在紙版的筆記本上,密碼簡單到我過目不忘。我一看到他的情況,第一時間就想叫他更改所有密碼,以後使用密碼管理器去記錄。
但問題是,他目前無法適應,有可能連最簡單的登入都做不了。如果一味只顧提升保安級別,卻連登入都做不到,那是矯枉過正。
所以最後我給他的建議,是先啟用二步認證,但他的手機不適合使用 Authenticator,且多年以來沒有固定的手機號碼,連 SMS 認證都做不到。最後我給他選定的方案,是使用固網電話,每次登入帳號,Google 均會自動打電話去指定的固網電話,以廣東話或普通話說出六個數字,輸入後便可登錄。這個方法當然有其他隱憂,我自己就絕對不會使用這些方法,但以該名用家的情況來說,起碼可以防止較為低端的遠程攻擊,總比只有一層密碼(而且是過目不忘的密碼)來得安全。
結論:
以上兩個例子,不是說我認同那些保安措施,但按用家的能力或其他條件,選取更為合適的保安措施。而非一味追求更高的保安級別。
設計資安措施時,切忌把用家當成是必然的潛在漏洞,處處要求用家接受高度培訓。更應在設計資訊安全的方案時,把用家的執行速度、效率、學習能力、記憶能力及使用取向等納入其中,才不致於本末倒置。
照片:Unsplash / Cameron Armstrong
🔑 【資訊保安文章整理,超務實長清單】 https://www.patreon.com/posts/46192115
▶️ 請訂閱 Patreon 頻道,支持不受干預的獨立創作及評論 | www.patreon.com/pazu
armstrong意思 在 [新聞] BitBoy 爆料:Celsius 破產是因FTX 與- 看板DigiCurrency 的必吃
新聞來源連結:
https://bit.ly/3i28kku
新聞本文:
BitBoy 爆料:Celsius 破產是因 FTX 與 Kevin O’Leary 共同策畫砸盤
加密貨幣借貸平台 Celsius 因受幣市崩跌、三箭資本等機構連環倒閉波及,陷入流動性危
機,在今年 6 月 無預警暫停用戶提款、兑幣和轉帳服務,接著在 7 月中旬根據美國《破
產法》第 11 章,向紐約南區美國破產法院提交自願重組申請。
值得注意的是,美國真人秀節目《創智贏家》明星投資人 Kevin O’Leary 在 6 月接受 Co
indesk 專訪時就斷言「Celsius 將歸零」。有高達 145 萬追蹤者的 YouTube 頻道 BitBoy
Crypto 創辦人 Ben Armstrong 今日發推爆料稱,這是因為 Celsius 崩潰的幕後推手,正
是 Kevin O’Leary 和 FTX;而他聲稱爆料來源是自一名被迫與 FTX 簽訂保密協議的英國
線民,雖然該說明來源的推文已被刪除,但 Bitboy 仍然不斷發推指控:
CoinDesk 對 Kevin O’Leary 做了一次採訪,他當時解釋稱 Celsius 會歸零,讓我告訴你
們一個秘密,因為(Celsius 崩潰)就是由 Kevin O’Leary 和 FTX 精心策劃的,你們準
備好迎接將震撼加密貨幣世界的消息了嗎?
是 FTX 導致 Celsius 崩潰。讓我們看看 FTX 先前對 NuGenesis 的 Nucoin 和 $REEF 做
了什麼,在這兩種情況下,FTX/Liquid 都在交易所市場上偽造了他們的代幣,以控制供應
、並操縱價格,這是事實、已被證明 – 不是猜測。
Ben Armstrong 還指控:
Kevin O’Leary 、SBF 和 FTX… 合謀壓低了 $CEL 的價格,導致 Celsius 開始垮台,他
們通過負面媒體宣傳、誇大代幣供應,來實現此目的,基本上是將其做空至一文不值… 然
後突然發動襲擊、收購這家公司。
現在很難找到 CoinDesk 採訪的連結,因為連結已被壞,如果你在 Celsius 上虧了錢 / 資
產被凍結… 你可以怪 Kevin O’Leary ,因為他顯然是導致 Celsius 崩盤的積極參與者,
應要求他解釋。
針對 Kevin O’Leary 在 6 月就斷言「Celsius 將歸零」,Ben Armstrong 解釋稱,當 Ke
vin O’Leary 獲得了其好友 SBF 正積極做空 $CEL 、製造假幣的內部資訊時,這種結果很
容易預測,他還宣稱自己「從多個消息來源獲得確認,他們皆聽說 FTX 使用代幣通膨 / 偽
造騙局來導致 Celsius 垮台」,但他尚未出示直接證據。
Kevin O’Leary 與 FTX 關係匪淺,FTX 曾於今年八月宣布與 Kevin O’Leary 建立長期的
合作關係,他作為 FTX Trading Ltd.(FTX.COM)和 West Realm Shires Services Inc.(
FTX.US)的股東,並以加密貨幣作為擔任 FTX 大使與代言人的報酬。
Ben Armstrong 最後引述分析指出,Kevin O’Leary 的新創公司 O’Leary Ventures ,與
Alameda Research 合投過加拿大區塊鏈新創公司 WonderFi ,他建議可做一些調查,看看
在 SBF 資不抵債漏洞擴大之際,最後有幾家公司在投資他,更爆料稱 Kevin O’Leary 「
認識 10 個認識 SBF 的人,其中有 9 個都愛他」。
評論:
如果是真的,只能說砸盤者人恆砸之
算是天道有輪迴,幣圈饒過誰
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 42.76.194.178 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/DigiCurrency/M.1669107259.A.BA2.html
... <看更多>