Search
武漢肺炎(COVID-19)疫情是全球關注焦點,本月不少資安議題與事件也與之有關,包括相關的網釣攻擊、假新聞,以及迫使國內外資安會議有異動,並為企業持續營運帶來挑戰。
在2月的其他重大資安新聞中,資安廠商Malwarebytes發布的Mac資安威脅首度超過Windows平臺,揭露了不同於以往的資安態勢,受到重視。同時,本月也有一些揭露惡意程式新能力的研究公布,其中,可竊取Google Authenticator一次性密碼的金融木馬,引發側目。
網站密碼安全相關議題,也是本月關注焦點之一,包括了密碼原則與實體安全金鑰的面向....
電腦手機網絡安全(四):有關安全鑰匙 YubiKey,你問我答
文:薯伯伯
早幾天寫了一篇文章,提到二步認證的安全鑰匙 YubiKey,無獨有偶,《立場》的另一位博客,《茉莉花開:中東革命與民主路》的作者陳婉容原來早在七月份就聯絡了瑞典的 Yubico 公司,希望他們可以贊助香港抗爭者五百條 YubiKey,在核實身份後,這家瑞典公司慷慨地向寄出了五百條 YubiKey,實在令人感動。
我發覺不少人對於 YubiKey 的功能及用法均有誤解,甚至有人認為「有伏」,或誤以為用上 YubiKey 後反而更危險。我回應了一些評語,整合之後發到自己的臉書專頁,《立場》的編輯看到,問可否轉載到《立場》,所以我又花了一點時間,再次整理一下文稿,就成了這篇文章。以下的問題,部份是在陳婉容的臉書帖文評語區選取,我把部份的用字修改。
一
問:若果硬體及 YubiKey 都被其他人拿到,怎辦?
答:即使其他人取得你的 YubiKey,也不能單單使用 YubiKey 便登入你的帳戶。「二步認證」是需要你本身的密碼,以及一個額外的認證因素,才能登入戶口。所以如果別人只是取得你的 YubiKey,但又沒有得到你的帳號密碼,那也是沒有辦法登入你的帳號。
二
問:我本身已經用 Authenticator app 去做二步認證,而不是用手機短訊,那為甚麼仍然要用 YubiKey 呢?
答:用 authenticator app 去做認證,本身已經算是較為安全,但相比起 YubiKey 或其他硬件認證,使用 app 較為花時間,也可能因此較難歸入日常網絡安全生活的一部份。
先說明一下,我強烈建議每次上網之後,都要登出 Facebook 及 Gmail 的戶口,不要長期處於登入的狀態,儘可能避免使用 Facebook app 或 Gmail app,最好是用瀏覽器登錄,並設定瀏覽器關閉的時候,會自動把 cookies 刪除。又或者乾脆使用「隱私模式」,不留痕迹。要把登出及登入,變成上網的常態,要反複練習。
如果你一天要登錄帳戶五次,假如用的是 app 去做認證,安全是安全,但每次都要先找來手機,輸入手機密碼,打開 authenticator app,可能也要再輸入一次 app 密碼,取得六位數字後,再把六位數字傳去電腦,或手動輸入,再按確認,這樣才能登入戶口。
但如果有 YubiKey 或其他硬件認證,過程就相對快速。先輸入帳戶密碼,把 YubiKey 插進電腦,便能登入(注意是密碼加硬件,單靠 YubiKey 是不能登入)。如果你所處的環境是較安全,例如數小時裡都在家中,那隻 YubiKey 可以一直插在電腦,雖然不算完美,但尚能接受。
用上二步認證,是極為關鍵的保安措施,但很多人是因為二步認證的過程繁瑣,所以棄用或懶得去用,從而嚴重危害到戶口安全。YubiKey 的作用,是加速了二步認證的速度,但又不會降低安全系數。
三
問:我應該要有一條還是兩條 YubiKey 呢?
答:按官方的說法,最好是兩條,因為一條常用,一條做後備。但對於大多數用戶來說,其實用一條也是足夠。我會建議大家先買一條,再以其他方式去做後備的密碼重設方案,例如 YubiKey 加上 authenticator app,或記下後備的認證碼(通常有八組,可以交給朋友代為保管)。不過後備的密碼重設方案,不應該用自己的手機號碼。
至於是否需要用兩條,如果你本身打算參加 Google 的高級保護計劃(Advanced Protection Program),你是必須有兩條鑰匙。不過參加了這個計劃之後,使用服務時是極為不便,尤其如果你是用 iPhone 就更為麻煩。(即使是講到明支援 iOS Lightning 接頭的 YubiKey 5Ci,還是不支持 Google 的高級保護計劃認證。)
方便與安全,往往是對立,要取得一個平衡點。我覺得二步認證的安全系數已經足夠,除了特殊的人群,大多數人也沒有必要參加高級保護計劃。而對於不打算參加高級保護計劃的用家來說,一條鑰匙,也是足夠的了。
四
問:YubiKey 會否影響我使用 WhatsApp、Telegram 或 Signal?
答:YubiKey 不支援 WhatsApp、Telegram 或 Signal,所以不會影響你使用這些聊天軟件。
YubiKey 支援的服務,常用的包括 Google 戶口、Facebook、Dropbox 等,還有很多,這裡不一一列出。
五
問:Google 官方推介的那款安全鑰匙,叫 Titan,為甚麼你反而要推介瑞典出品的 YubiKey?
答:Titan 的製造商是飛天誠信(Feitian Technology),總部設於北京。這家公司獲得不少國家認證及讚許,並對其安全產品及科技成就作出高度的認可及肯定,目前並沒有證據顯示這家公司的產品有後門或安全漏洞。
所以,我選擇用瑞典及美國製造的 YubiKey。還有,大家可以比較兩者的設計,YubiKey 真係靚仔好多。
六
問:如果有人用 YubiKey 插進我的電腦,是否沒有密碼就能直接打開電腦?
答:這個要看你如何設置,如果你想設置為開啟電腦時,要先輸入密碼,再插入 YubiKey 才能登入電腦,那你應該要使用 pluggable authentication module(PAM,可插拔認證模塊)。相關設定請看 https://support.yubico.com/support/solutions/articles/15000015045-macos-logon-tool-configuration-guide
如果你是用 PAM 模塊的設定,即使別人取得你的 YubiKey,也不可以打開你的電腦,他是必須有你的 YubiKey,加上你的密碼,才能登入電腦。
不過話又說回來,如果是使用電腦,只要設定妥當,其實不用 YubiKey 開機,也算安全。因為我是用 Mac 機,也只能用 Mac 機的情況去說一下,如何才算安全。
1. 你常用的開機戶口的權限只是 standard 而不是 admin。
2. 你的硬盤本身有開啟加密,即 FileVault。
3. 你本身 admin 及 standard 的戶口密碼夠強。
這三點當中,以第三點最為容易被用家忽略,很多人為了貪方便,開機密碼簡單到不能再簡單,很易被破解,尤其開機的密碼,是容許不停試,即可以使用「蠻力」(brute force)去猜度,所以一定要小心選擇。至於如何選擇強勁密碼,不妨參考骰子密碼法(Diceware),詳見:https://en.wikipedia.org/wiki/Diceware
大家也可以去這裡測試一下自己的密碼安全程度,不要輸入真的密碼,差不多就可以,我的密碼,聲稱是要用 919 萬億年才能破解。 https://howsecureismypassword.net/
七
問:我本身用密碼管理器,密碼是極為複雜,這樣不是已經很安全了嗎?為甚麼還要用 YubiKey?
答:即使是再安全的密碼,如果你的密碼管理器被破解,又或是被人安裝了鍵盤記錄器(keylogger),再複雜的密碼也沒有用,入侵者照樣可以輕易登入你的帳號。所以一定要有二步認證,而為了加快二步認證的過程,並把這個過程變成生活一部份,用硬件認證,是較好的方式。
當然,如果你真的覺得 authenticator app 已經足夠,其實也不一定要付費買安全鑰匙。只是,我兩者皆用過,我覺得鑰匙方便很多。
八
問:為甚麼我覺得有伏?真的安全??這個東西有沒有後門?
答:可能因為你不了解個技術,所以覺得有伏。
九
問:我是用 iPhone,為甚麼我覺得這類產品對 iPhone 的支援,好像很弱很不足呢?
答:因為這類產品,對 iPhone 的支援,真的很弱很不足啊!即使 YubiKey 出了一款 5Ci 有 lightning 連接頭,但只有極少量的 apps 支援。如果你是用 MacBook 加 iPhone,我建議你只用買 YubiKey 5 (Nano) 或 5C (Nano),而不用為 iPhone 買 5Ci 那款,那個 lightning 接頭很雞肋。
對於 MacBook + iPhone 的用家來說,最適合的方案,是在 MacBook 用 YubiKey,在 iPhone 還是用 authenticator app。
十
問:可以在哪裡購買 YubiKey?
答:上官網 Yubico.com,或是去官方認可的香港分銷商。
購買這類安全產品,跟買安全套一樣,理論上是要避免使用中介渠道或集運公司,因為理論上越多中間人,那麼理論上就越大機會被人做手腳。
其中一種做手腳的方式,是企圖入侵的人,把金鑰裡的物理序列號偷偷記錄,並之後用其他方式去產生密鑰。強調是「理論上」,因為估計實行起來,也非容易,太多顧慮,聽起來好像又太多疑,但既然說到網絡安全,當然要在各個可行的層面,也儘量做好防範的措施。例如萬一你的鑰匙被人偷走,非法扣留,又或是買回來的時候包裝已經打開,就最好不用。
Yubico 的官方網站顯示,在香港有一個官方認可以的分銷商:Netmon Information Systems,地址是:觀塘鴻圖道 57 號,南洋廣場 15 樓 1 室。電話是 25272086。網址是 www.netmon.asia ,建議在辦公時間先打電話去查詢存貨量。
———
延伸閱讀:
《Yubico 贊助香港抗爭者世上最強網上保安鎖匙Yubikey》(文:陳婉容):https://www.facebook.com/sherrychanyy/photos/a.517784544922353/2803649153002536/?type=3&permPage=1
電腦手機網絡安全(一):SIM 卡鎖:https://www.facebook.com/pazukong/photos/a.2007886759444126/2634928633406599/
電腦手機網絡安全(二):簡介二步認證:https://www.facebook.com/pazukong/photos/a.2007886759444126/2636315873267875/
電腦手機網絡安全(三):二步認證的驗證因素:https://www.facebook.com/pazukong/photos/a.2007886759444126/2637695243129938/
———
* 想追看薯伯伯的文章,請設定本 Page 為「搶先看 / See First」*
Instagram 🥑🥭🍉🍌: pazu
新博客:http://pazu.com/blog
另外還要提一提大家:
【新書速報】Pazu 薯伯伯《不正常旅行研究所》(白卷出版社)——從西藏拉薩到神州大地;由亞洲各國至中東地區。非常人般玩轉奇異世界、紀錄精彩故事文化習俗。
在旺角序言、北角森記、誠品書店及各大書店,均有代售!其中在旺角序言及北角森記,有少量簽名版本。
電腦手機網絡安全(三):二步認證的驗證因素
文:薯伯伯
之前提到要為 SIM 卡上鎖及二步認證,兩個方法是最為基礎的網絡保安措施,實行起來也相對簡單,所以先行在前面兩篇文章介紹了。但要強調,即使鎖上了 SIM 卡及用了二步認證,還是有風險,其中脆弱的環節,是 SIM 卡的安全問題。例如在 2018 年,美國著名網站 Reddit 一批員工的戶口被盜,入侵者是在沒有取得受害者手機的情況下,騎劫了 SIM 卡。
所謂「SIM 卡騎劫」,方法很多,例如冒充卡主打電話去電訊公司,申請更換 SIM 卡,又或者要求電訊公司解鎖電話卡。而大部份電訊公司對用戶的認證,既要顧及客人觀感,又要顧及私隱保安,確是兩難。我有一位做客戶服務的朋友說,卡主登記人是女性,但如果有人用男人的老牛聲打上台,只要對方說自己是女人,他們也不能質疑,否則可能成為公關災難。
就算不用打上台冒充卡主,還有不同的方式去攔截 SMS,上網搜查 SMS interception,即能搜到一大堆示範片段及方法。所以,使用二步認證雖然較為安全,但若然用了較不可靠的驗證因素,便會削弱二步認證的保護力量。
那麼,我們應該如何選擇二步認證的驗證因素呢?常見的驗證因素(factor),包括了以下三類:
一,手機短訊
二,軟件認證
三,硬件認證
軟件認證,就是在手機下載一個專門的動態密碼產生器,即 authenticator,每分鐘也會顯示一組六位數字的驗證碼。操作的情況是,不論在手機或電腦登錄二步認證的網站,先輸入戶口本身的密碼,再在手機上打開動態密碼產生器,取得六位驗證碼,再輸入到網站,才能登入。
動態密碼的手機軟件,最常用的是 Google Authenticator,但這個軟件本身沒有上鎖功能,萬一別人取得你手機的開機密碼,就能進入,感覺還是不太可靠。我推介另一款,叫 Lastpass Authenticator,可設置六位的開啟密碼,Lastpass 本身也是另一家非常有名氣的密碼保安公司,使用起來更覺安心。
具體的設置方式如下,只以 Google 戶口做例子:
先在手機下載 Lastpass Authenticator,地址在: https://lastpass.com/auth/ 免費的(如果要備份,需另外付費,但其實不備份也可以)。
之後用手機或桌面電腦的瀏覽器:
1. 登錄 https://myaccount.google.com/security 並輸入密碼。
2. 選擇「兩步驗證」。
3. 重新輸入 Google 的戶口密碼。
4. 選擇「Authenticator 應用程式」
5. 選擇 Android 或 iPhone,按下一步,出現二維條碼。
6. 在手機上打開 Lastpass Authenticator 的 app,按右下方「+」號,選擇 Scan Barcode,再掃一掃上一步驟顯示的二維條碼。
7. 用手機掃完二維碼之後,在瀏覽器中的二維碼畫面,按「下一頁」。
8. 在瀏覽器中輸入 Lastpass Authenticator 顯示的六位數字驗證碼,再按「驗證」。
9. 完成。
(以上步驟,其實按著電腦或手機上畫面的指引去做,可能更為容易。)
其他戶口,例如 Facebook、Dropbox 等,也可以類似的方式註冊,但 Apple ID 不支援這個硬件鑰匙的驗證方式。
* * *
之前介紹了手機短訊,以及軟件認證,那麼還有一個方式,即硬件認證。所謂硬件認證,即「安全金鑰」,就是一隻 USB 手指(也有 NFC 無線介面)。操作的情況是,當你用電腦上的瀏覽器登錄戶口時,輸入戶口密碼後,要插入「安全金鑰」,再用手指摸一摸上面的金屬圈,這樣才能登錄網站。
其中最廣為人知的「安全金鑰」,是 Yubico 的出品,官方網站是:https://www.yubico.com/
網站上有多種產品,眼花瞭亂,選擇上,第一個應該考慮的,是你的桌面電腦用 USB-A 還是 USB-C 的接口。至於無線 NFC 或 iPhone 的 Lightning 插頭(尤其 Lightning 插頭,支援實在太少),有點雞肋,可有可無。
如果你用的是 MacBook/PC 及 iPhone,我較為推介的款式,是:
YubiKey 5 Nano(HK$ 390)
YubiKey 5C Nano(HK$ 470)
YubiKey 5C(HK$ 390)
至於 YubiKey 5Ci(HK$ 550),雖然多了一個 Lightning 插頭,但目前支援的軟件太少,有點雞肋。至於 Android 用戶,因為不太肯定實際的支援情況,在此就不詳述了,有經驗的讀者,請在評論區裡分享一下看法。
另外,要留意不是所有瀏覽器也支援使用 YubiKey,支援的瀏覽器包括 Firefox, Chrome, Opera,但是 Safari 則不支援。如果你本身是習慣用 Safari,即使不是因為 YubiKey,其實基於保安及私隱考慮,也建議儘早改用 Firefox。
* * *
購買這類安全產品,跟買安全套一樣,理論上是要避免使用中介渠道或集運公司,因為理論上越多中間人,那麼理論上就越大機會被人做手腳。其中一種做手腳的方式,是企圖入侵的人,把金鑰裡的物理序列號偷偷記錄,並之後用其他方式去產生密鑰。強調是「理論上」,因為估計實行起來,也非容易,太多顧慮,聽起來好像又太多疑,但既然說到網絡安全,當然要在各個可行的層面,也儘量做好防範的措施。例如萬一你的鑰匙被人偷走,非法扣留,又或是買回來的時候包裝已經打開,就最好不用。
在 Yubico 的官方網站,查看各地的代理名單,在香港有一個官方認可以的代理,是:Netmon Information Systems,地址是:觀塘鴻圖道 57 號,南洋廣場 15 樓 1 室。電話是 25272086。網址是 www.netmon.asia ,建議在辦公時間先打電話去查詢存貨量。
* * *
另外,不少人喜歡把手機號碼作為二步認證的其中一個驗證因素,這個用起來雖然方便,但如果你本身已經有軟件認證的 Authenticator 應用程式,又或是硬件認證的安全金鑰,不妨考慮把手機認證這個因素移除,又或是加上可靠朋友的手機號碼做認證。在 Google 的戶口,也可以考慮把 Google Prompt 關掉,至於備用驗證碼,也建議寫在安全的地方,例如告訴可靠的朋友,沒必要放在家裡或身上。
登入戶口當然麻煩了,但謹記一點,如果你總是不用做任何登入步驟,就能自動進入戶口,代表的不只是方便,還有漏洞。
———
照片:幾部老爺智能手機,是 Treo 系列,分別是 650 及 680,都算是我用過的手機裡,最讓人懷念,但又完全不想再重用的智能手機,攝於 2010 年 5 月。
———
* 想追看薯伯伯的文章,請設定本 Page 為「搶先看 / See First」*
Instagram 🥑🥭🍉🍌: pazu
新博客:http://pazu.com/blog
另外還要提一提大家:
【新書速報】Pazu 薯伯伯《不正常旅行研究所》(白卷出版社)——從西藏拉薩到神州大地;由亞洲各國至中東地區。非常人般玩轉奇異世界、紀錄精彩故事文化習俗。
在旺角序言、北角森記、誠品書店及各大書店,均有代售!其中在旺角序言及北角森記,有少量簽名版本。
步驟2:在帳戶中新增金鑰. You can add a security key to your account using a computer or an Android device (7.0 or higher). Make sure you are using the .. ... <看更多>
步驟2:在帳戶中新增金鑰. You can add a security key to your account using a computer or an Android device (7.0 or higher). Make sure you are using the .. ... <看更多>
google authenticator金鑰 在 [問題] Google authenticator 如果手機重設? - 看板MobileComm 的必吃
大家好,現在帳號不開啟兩階段登入根本不敢用,
所以之前用 Authy,換手機或手機重設,
都一樣能還原所有帳號的金鑰。
後來 Google authenticator 更新,說能繼承金鑰,
身為 Google 腦粉的我馬上把所有帳號的兩階段換上去,
結果發現....,它必須要兩台「同時活著」的手機才能轉移啊,
是用 QR code 掃描達到目的的。
可是我有半年重設一次手機的習慣,
這樣我該怎麼在不動用第三支手機的前提下,
先備份好兩階段登入的所有金鑰?
而且,如果我的手機不小心掉到吊橋下,
就算申請回原門號,是不是也救不回金鑰了?
不想再搬回 Authy,大工程啊...。
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 223.137.249.89 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/MobileComm/M.1598377386.A.D67.html
... <看更多>