【追星族必看！推理小說中，偶像團體要如何成軍】

「難以忘記初次見你，一雙迷人的眼睛～」不知道聽過庾澄慶〈情非得已〉的讀者，還記不記得那個年代，我們青春的共同回憶呢？

當年由道明寺/花澤類/西門/美作這《流星花園》的F4，還有超級富有…正義感的衫菜少女，一段愛與拳頭(?)的故事，風靡了全亞洲。

臺灣不僅由此掀起偶像劇熱潮，雨後春筍的改編製作也讓觀眾目不暇給，使得當時的製作人柴智屏，被冠有「偶像劇教母」的美名。

聽說剛開始時，經紀公司一度有出來澄清說，F4就是劇情中的一個設定而已，不用太認真看待～但後來終究敵不過廣大粉絲的熱情。

好玩的是，正如F4是"Flower 4"，代表四位如花…美貌的花樣男子，推理小說中其實也有偶像團體，而且有男有女更各具顏值與實力～

多數時候，故事中常會有一個特定地點、神秘儀式或關鍵事件/物件設定，來促成偶像團體成軍的契機；憑藉的，就是故事接龍的共創。

推理F5的話，有臺灣作家何敬堯/楊双子/陳又津/瀟湘神/盛浩偉接力的《華麗島軼聞：鍵》；還有臺港日三地，作家三津田信三/薛西斯/夜透紫/瀟湘神/陳浩基合作的《筷：怪談競演奇物語》。

一本以臺灣日治時期藝文界為背景，然後寫妖怪、百合、耽美BL、推理，和有一批牛肉(X)文學(O)很純的故事情節，讓臺灣30年代至戰後初，讀起來像在吃千層派，喀滋喀滋超有味道。

一本則是將生活日常的筷子，作為文化共通的橋樑和跨時空地域恐怖怪談的連結，寫作前提是建立在「和筷子有關的怪談/都市傳說」和「左手上有魚形痕跡的人」來共創。

不過如果讀者以為，所謂的Flower團體，必須數人以上才行，那可不一定～如果想的話，可以學學力宏雲迪的四手聯彈，效果也很美賣！

如作家陳浩基＆寵物先生以科技對人性的預測，特別是「犯罪的人會再犯嗎」的數據模擬，來探討人性本質與犯罪的《S.T.E.P.》。

另一個則是喜歡用親子力來爆棚的費策克與法醫麥可的《解剖》，有助於讀者對法律、正義與道德的思索，及同理受害家屬的功用。

這樣的寫法各有專擅又各異其趣，讀起來真的很好玩，不過其實呢，這類本來也就可以用作者本尊宋七力，一人分飾多角的來弄～

但這類之所以要這樣，多半是想製造一樁懸案各自表述觀察的混淆，而且特喜歡和人正闇黑系的反差萌(?)來搭配。

如皆川博子《倒立塔殺人事件》和秋吉理香子《暗黑女子》；一個是二戰圖書館員與少女們的日記；一個是不懷好意的文學闇鍋會。

讀到這裡讀者大概也不難發現，如果不是作家們齊心協力，有一種狀況是，就算是沒有經紀公司的素人(群)，也是可以做得到的唷～

先說最近因為國外疫情關係，國旅不是正夯嗎？所以據說離島的澎湖綠島金門與小琉球，都被國人報復性出遊的擠爆，成了朝聖聖地。

這些來自四面八方不同背景的鄉民，聖地I'm Coming～的萍水一遇，免不了一頓閒扯淡，這是留言分享討論串re了又re的真人版。

文學史上號稱英國文學之父喬叟(Geoffrey Chaucer)的《坎特伯利故事集》(The Canterbury tales)就是這樣親民的…故事接龍產生器(?)。

只不過古早時候，國內外的交通都不是那麼發達，出遊多半是因為職業或宗教需求，不一定是因為疫情，所以主題內容也不一而定。

如果不是分人署名那樣清晰，屬於團體合作且聖地換奇幻空間的說妖，就以臺北地方異聞工作室的《說妖：卷一 無明長夜》最有趣。

不過大家可能也還記得，當年F4因《流星花園》此劇初嚐爆紅滋味以後，曾被以個人主角屬性，量身訂做制訂了主題曲〈流星雨〉。

而且就算F4當年身上穿的只是五分埔的衣服，仍然難掩帥氣；換算過來，再怎麼死胡同的劇情來到作家手上，也沒有不起死回生的道理～

故事接龍合寫創作，大概是最有機會締造偶像團體的寫作技法吧，只是參加的人，必須有各自適合的角色屬性和各司其職的分工。

想起當年聽庾澄慶磁性的嗓音唱道：「怕我沒什麼能夠給你，愛你也需要很大的勇氣」，心中年輕的小鹿還會亂亂撞的心跳一百呢！

如今看著過去香閨貼著《流星花園》海報的地方，從斑駁褪色、風吹成塵到最後丟棄的記憶，只能說，大齡老女真是紅顏老又紅顏舊啊～

★《解剖》因情節寫有大量的剖屍情況與受害慘狀，若有需要，建議未成年讀者，請在成年人引導的陪伴下共讀。

警語：本文僅適用推理人物劇情設計，不可作為現實任何犯罪的途徑與目的。

📜 [專欄新文章] ELI5! 區塊鏈到底在幹嘛？
✍️ Juin Chiu
📥 歡迎投稿： https://medium.com/taipei-ethereum-meetup #徵技術分享文 #使用心得 #教學文 #medium

用生活化的例子輕鬆學會區塊鏈技術的重要概念

前言

我們熟知的世界正在慢慢地被區塊鏈技術瓦解與重建。不論背景，有愈來愈多人想對區塊鏈技術一探究竟，或許更進一步成為從業者、貢獻者或佈道者。

不幸的是，初學者若想學習區塊鏈技術，第一個問題可能會是高學習門檻，這是因為目前在各種主流平台上所流傳的區塊鏈知識或資源，都不免會大量使用艱澀的術語，長久以來便塑造出區塊鏈高大上的距離感，好似區塊鏈是只專屬於一小群駭客或者專業人士才能理解的技術。然而這是不準確的，事實上，區塊鏈技術中許多概念都能用一般常識理解，頂多只需要國小數學。

本文中，筆者將化繁為簡，試著把區塊鏈技術中的每個元素都使用生活化的例子比擬，讓區塊鏈愛好者與初學者不需用到密碼學/經濟學/資訊科學，也能領會區塊鏈技術的精髓之處。

本文將提及的概念如下：

什麼是帳本？

什麼是交易？

為什麼需要區塊？

有哪些共識機制？

區塊鏈安全嗎？

智能合約如何運作？

以下正文開始：

區塊鏈：一個公平的記錄系統

簡單來說，區塊鏈技術旨在打造一個去中心化的（Decentralized）狀態紀錄系統，更準確一點：區塊鏈技術旨在打造是一個追求真正「公平」的系統。

區塊鏈實現公平的關鍵在於：它完全仰賴自然法則運作，只透過一系列精細的規則就能保證系統的正確，這打破了人類社會一直以來的仰賴的中心化系統，使促成不平等的最大因素不復存在。

區塊鏈技術可以打造出具世界規模的去中心化運算平台，由數千甚至數萬個參與者共同維護狀態並提供計算資源。如果這個運算平台是應用在貨幣與資產的場景中，那麼這個平台可被稱為分散式帳本。

在接下來的段落，筆者將用一個例子展示一個極度精簡、只用紙跟筆的就可以運作的分散式帳本。在這個例子中，一群學生可以使用區塊鏈技術發行屬於他們自己的虛擬幣：「考卷幣」（Exam Paper Coin, EPC）。

考卷幣：使用區塊鏈技術發行的虛擬幣

考卷幣（EPC）是一種使用區塊鏈技術發行的虛擬幣，並存在於分散式帳本中。它的用途是為考卷加分，這將會吸引想考高分或者擔心被當的人學生持有。為什麼 EPC 只能被稱作虛擬幣，而不被稱作密碼貨幣？這是因為 EPC 的發行不會使用任何有關密碼學的技術，因此 EPC 嚴格來說不是密碼貨幣。

在分散式帳本被創建之初，沒有任何人擁有 EPC ，那麼 EPC 是怎麼「鑄造」與分配的？至少可以肯定的是，EPC 不能憑空產生，否則所有參與者就能不斷製造 EPC，使分散式帳本崩潰。事實上，EPC 的價值奠基於參與者的「付出」。

分散式帳本中最重要的角色非記帳者莫屬。每當記帳者成功完成工作，它便可以獲得固定數量的 EPC 作為報酬。於是，分散式帳本中的 EPC 便如此逐步地被鑄造出來。將 EPC 賦予具有貢獻的記帳者除了能夠公平分配 EPC，同時也是一種激勵機制（Incentivizing Mechanism），提供參與者維護帳本的動機。

那麼每個人所具有的 EPC 是怎麼記錄在帳本中的？

帳本： EPC 都要記錄下來

帳本即為依時間順序與特定格式記錄價值的系統。在分散式帳本中，每一批紀錄都會由某一個特定的「記帳者」維護，而記帳者會以特定的規則從所有的參與者中選出，因此分散式帳本是具有多個「記帳者」的系統。

為了確保能公平選出 EPC 的所有記帳者，分散式帳本不會使用任何記帳者的個人資訊，例如姓名、電話，做為帳本上的識別。記帳者可以自由地使用假名（Pseudonym）作為帳本上唯一的識別（Identifier），或者稱為地址（Address）。所以王小庭同學可以使用 Alice 這個假名，而且如果王小庭同學喜歡的話，他也可以同時使用 Bob 這個假名。

EPC 使用如下的格式記錄每個地址幣的數量：

Alice 100 EPCBob 0 EPCCharlie 0 EPCDavid 0 EPCEva 0 EPC

多數區塊鏈稱其識別為地址（Address），其為非對稱密碼學中公鑰（Public Key）的雜湊值（Hash）。地址具有統一的格式，例如以太坊的地址為長度 160 位元的 16 進位數字。

交易：把我的 EPC 轉移給別人

EPC 是可以轉移的，現在 Alice 可以將它持有的 100 EPC 中的 60 EPC 轉移給 Bob，以幫助 Bob 在下一次考試中免於被當。這樣的轉幣紀錄稱為交易（Transaction, Tx），可以如下表示：

Tx1

60 EPC, from [Alice] to [Bob]

而這筆交易會由 Alice 以上述格式記在紙條上，以 Tx1 表示。

簽章：讓參與者的所有動作都不可抵賴

EPC 的每個參與者的每個行為，例如交易，都必須附帶簽章（Signature），證明「這個動作確實是由我本人發起的」，簽署者不可抵賴，任何沒有附帶簽名的動作都是不被承認的。一個附帶簽名的交易紙條會像這樣：

Tx1

60 EPC, from [Alice] to [Bob], ALICE

簽章分為簽署（Sign）及驗證（Verify）兩個動作。驗證即是確認簽章是否確實是由行為發起者所簽署。在這個例子中，僅用一個簡單的驗證：若簽章與識別相符，則驗證成功。例如 Tx1 中，簽名 ALICE 確實與交易發起者 Alice 相符，因此驗證成功。

簽章就是區塊鏈的數位簽章（Digital Signature），其使用私鑰（Private Key）簽署，公鑰（Public Key）驗證，非常難以偽造。

訊息的散佈：怎麼讓所有參與者都收到訊息？

由於 Tx1 是由 Alice 發起的，因此 Alice 將於它自己的帳本記下這筆交易，接著 Alice 必須把這筆交易的內容也轉達所有的參與者，讓所有參與者皆具有所有的交易內容。

EPC 的參與者們不以口語，而是以傳紙條的方式互相交換訊息。紙條要如何有效率地傳播訊息給所有在教室中的參與者呢？可以使用「一傳十、十傳百」的策略。也就是：一次傳 10 張紙條給自己周圍的參與者，參與者收到後再抄寫 10 次後傳給周圍尚未收到該紀錄的其他參與者，逐步將訊息擴散致所有參與者。

這樣的傳播策略正如同流言被散佈的方式，因此也被稱為流言散佈協定（Gossip Protocol）。紙條傳播的網路就是對等網路（Peer-to-peer Network），紙條就是對等網路的封包（Packet）。關於對等網路的介紹，可以參考筆者日前的撰文：

隱私、區塊鏈與洋蔥路由

區塊：記錄一段時間內的交易順序

經過一段時間之後，每個 EPC 參與者手上都會有許多來自別的參與者的紙條，每張紙條都記載著不同的交易。在理想狀況下，如果所有參與者收到紙條的順序都相同，且每個參與者都收到了所有紙條，則所有參與者的帳本上的狀態，也就是餘額，都會相同。然而，若採用上述的訊息散佈策略，會發生兩種情況：每個參與者收到紙條的順序會不同，或者某些紙條可能會被遺漏。這些情況都會讓每個參與者的帳本產生差異，使帳本不可靠。而一個不可靠的帳本，不能作為貨幣發行的工具。

有沒有辦法能使所有 EPC 參與者用相同的交易順序記帳呢？這便是區塊鏈技術的奧秘之處。

為此，我們需要使用一個精心設計的結構：區塊（Block）。每個參與者皆會將一段時間內收到的交易紙條的編號，依照自己的順序寫在另一張紙條上，這張紙條就是區塊紙條，簡稱區塊，產出區塊的參與者則稱為區塊生產者。收到區塊紙條的其他參與者便會知道區塊生產者在這段時間內的交易順序。

為了要讓所有帳本都具有一致的狀態，EPC 的所有參與者必須要選出其中一個區塊作為所有參與者的共識（Consensus）。所有參與者都必須要遵照共識區塊的交易順序來更新自己的帳本，而這個區塊生產者就是記帳者。由於記帳者可以獲得報酬，因此在利益的驅使下，所有參與者都會努力生產區塊以爭取記帳權。

值得注意的是，每個區塊當中都會記錄前一個已達成共識的區塊的編號。例如接下來的範例，Bk15 的前一個已達成共識的區塊為 Bk3：

Bk15

Last Block: Bk3

Height: 15

Transactions:- Tx1- Tx5- Tx4- Tx10- Tx7- Tx13

Nonce: 1

Signature: CHARLIE

由於每個新的共識區塊都會指向前一個共識區塊，如此便會形成一條長鏈般的結構，已形成共識的區塊接成一條鏈，這就是區塊鏈（Blockchain）名稱的由來。

而當 EPC 參與者在收取共識的區塊後，將按照共識依序為每個交易內容進行帳本餘額的轉換。如此，所有的帳本都將具有一致的狀態。

依據特定輸入及轉換函數（Transition Function）執行狀態更新的系統，稱為狀態機複製（State Machine Replication）

摘要：濃縮紙條上的訊息

在介紹達成共識的方法前，筆者要先來介紹一個樸實無華但重要的概念：摘要（Digest），其顧名思義就是一段內容經過消化的產物。假設有一種摘要產生器，這個機器可以放入一張紙條，然後透過 3 個步驟計算出紙條的摘要。

摘要產生器將記載訊息的紙條切成一條一條固定寬度的細長條狀紙帶，如下圖：

2. 將這些紙帶依照順序接成一個長條紙帶。紙帶上有字跡的黑色部分與沒字跡的白色部分會出現不規則相間，測量每個黑色區塊之間相鄰的距離，如下圖：

3. 每段距離的數字相乘後的數字就是這個紙條的摘要（Digest）。

每個 EPC 參與者都會有一台摘要產生器，而它需要上緊發條才能開始工作，且每計算完一張紙條便須重新上一次發條。

摘要的計算雖然簡單，卻具有一些很有用的特性：

首先，摘要會隨著紙條內容的變動而更動。只要更動了任何一點紙條內容，例如區塊的交易順序，或者流水號（Nonce），都會使摘要改變。因此一個附上摘要的紙條，可以讓收到紙條的人在收到後再自行計算一次摘要並比對兩者，以驗證紙條的內容是否被修改過。因此，摘要是可驗證的（Verifiable）。

若想在不更動摘要的情況下同時變動紙條內容，只能不斷嘗試用不同內容產生摘要，直到發生碰撞（Collision） — 意即兩個不同內容的紙條出現相同摘要。

其次，摘要也是單向的：一個紙條很容易產出摘要，但摘要很難還原出原本的紙條內容。這也代表摘要是隨機且難以預測的，因此摘要可以作為一種亂數（Random Number）來源。

正式的區塊鏈使用更難預測且更不易碰撞的的密碼雜湊函數（Cryptograpgic Hash Function）產生訊息摘要。

理解關於區塊鏈技術的基本要件後，接下來就來看看區塊鏈技術的精妙之處：共識機制。

共識機制：如何達成共識？

在區塊鏈技術中，大致上有兩種方式可以產生共識：抽彩（Lottery）或表決（Vote），它們各自有不同特性，每一種分散式帳本都會使用其中之一作為共識機制。

抽彩

在抽彩機制中，唯有摘要小於門檻值的「合法」區塊才會被所有參與者收受。然而，區塊生產者無法預測摘要，且可驗證的摘要使區塊生產者難以作弊。因此若想生產數字小於門檻值的摘要，區塊生產者必須不斷改動區塊內容，例如流水號或者交易順序，直到找到摘要小於門檻值的區塊，就像抽彩一樣。只有合法的區塊才會被區塊生產者散佈給其他 EPC 參與者。

在這樣的規則下，可能會同時出現多個合法區塊。還記得區塊鏈中「鏈」的部分嗎？當收受多個低於門檻的區塊時，該選哪個區塊作為上一個區塊呢？這裡我們可以用一些簡單的規則來做抉擇：選擇合法區塊中高度（Height）最高的區塊，若高度一樣則選擇摘要數字較低的區塊。

區塊紙條的摘要就是正式區塊鏈中的區塊雜湊值。在正式的區塊鏈中，門檻值愈低，困難度（Difficulty）也愈高。區塊的選擇規則也稱為分岔選擇規則（Fork Choice Rule），使用可驗證的亂數作為共識的做法又稱為中本共識（Nakamoto Consensus）。

表決

有別於複雜的抽彩，表決機制相當直觀：所有參與者針對某個預先選出的領袖（Leader）的提案（Proposal），也就是區塊，進行投票。領袖是怎麼選出的？一個直覺的做法是按照假名的順序，按照 Alice / Bob / Charlie 的順序，所有參與者輪流擔任領袖。

所有參與者在收到提案後，可以選擇同意或反對這個區塊的內容，若同意的話，則將自己對提案的同意票記在紙條上，並將這個投票紙條散佈給所有其他參與者。若多數的參與者同意了提案，則所有參與者皆須認定該提案為共識。

然而，表決機制雖然直觀，卻不如抽彩具有可驗證性，參與者若想作弊則相對容易：例如，參與者可以重複投票，或者串通其他參與者一起不投票，以破壞帳本；另一方面，表決比抽彩來得有效率，因其不需要所有參與者都費功去製造可能將不被收受的區塊。

拜占庭錯誤（Byzantine Fault）特指這些不在預期內的行為，表決機制事實上也就是拜占庭容錯（Byzantine-fault-tolerant, BFT）演算法。PBFT 家族的協定是目前拜占庭容錯演算法的主流，然而其至多只能容忍不超過參與者總數一半的拜占庭錯誤。若想了解更多 PBFT 的細節，可以參考筆者日前的撰文：

若想搞懂區塊鏈就不能忽視的經典：PBFT

女巫：如何避免帳本被單一個體掌控？

上文提到：為了保證公平的記帳權，帳本上的識別都是假名，如上文提及，Alice 跟 Bob 實際上都是由同一個參與者王小庭所控制，其他參與者不僅難以得知，而且王小庭喜歡的話，他愛用幾個假名就用幾個假名 — 掌控多個假名的王小庭就成為了「女巫」（Sybil）。

不論是採取何種共識機制，女巫的存在都會破壞分散式帳本的安全性：

在抽彩機制中，如果多數的參與者皆由女巫控制，則女巫有很大的機會可以無視規則，不需抽彩便竄改帳本。

在表決機制中，如果由女巫控制的參與者可以集體進行不在預期內的行為，例如重複投票或者不投票。

因此，抵抗女巫對於分散式帳本的安全至關重要。對此，一個直覺的思路是：讓每個假名的行為都必須付出有限的資源，例如錢跟力。因此有兩種方式可以抵抗女巫：要嘛出錢，要嘛出力。

出力：在抽彩機制中，每個合法區塊的生產都必須附有低於門檻的摘要，而摘要的計算需要參與者出力不斷地重上發條。

出錢：在表決機制中，抵押一定數量 EPC 的參與者才能獲選為領袖被生產提案，且若違反規則，參與者的押金將會被沒收。

出力即是工作證明（Proof of Work, PoW）；出錢即是權益證明（Proof of Stake, PoS），抵抗女巫的機制稱為抗女巫機制（Sybil-control Mechanism）。

合約：進行條件式的交易

回顧一下本文開頭所提：區塊鏈技術可以用來打造去中心化的運算平台，它可以用以記錄任何資訊，不止餘額，例如一段合約（Contract）。合約就是指一段會依據不同條件而達成不同執行結果的語句。例如：

CheckAndPay

給定 A、B 兩個假名，若 A 的餘額大於/等於 30 EPC，則 A 支付 20 EPC 給 B ，否則 A 不支付任何 EPC。

這個合約就可以被記錄在帳本中：

Alice 100 EPCBob 0 EPCCharlie 0 EPCDavid 0 EPCEva 0 EPCCheckAndPay "給定 A、B 兩個假名，若 A 的餘額大於/等於 30 EPC，則 A 支付 20 EPC 給 B ，否則 A 不支付任何 EPC。"

之後 Alice 就可以發起像這樣的交易：

Tx 99

CheckAndPay, {[Alice], [Bob]}, ALICE

如此，若 Alice 的 EPC 餘額不足 30 EPC 則不會支付 Bob。

觸發合約的 Tx 99 ，它的執行過程比較煩瑣：執行 Tx 99 的參與者首先會從帳本中尋找 CheckAndPay 的合約內容，並從 Tx 99 中取出合約需要的輸入：A 與 B，接著參與者再解讀合約的語句，依照條件進行帳本的狀態轉換。其中，為了使參與者能解讀合約，合約需用所有參與者皆能看懂的語言書寫。

合約又稱智能合約（Smart Contract）。正式的區塊鏈使用虛擬機（Virtual Machine）來解讀與執行合約。事實上，智能合約能做的事情非常多，這使具有智能合約功能的分散式帳本得以成為去中心化的運算平台，例如以太坊（Ethereum）。

總結： 分散式帳本究竟是一個怎樣的系統？

如果以上環節皆運作順利，那麼便能成功只用紙筆便發行了專由學生使用的貨幣。最後再次強調一次：這是一個為了便於使初學者掌握核心觀念而極度簡化的例子。正式運行的區塊鏈，例如以太坊，其實際運作遠遠複雜得多。

還有一些比較進階的概念，雖然礙於篇幅未在此文章提及，但部分主題筆者曾撰文介紹：

可擴展性（Scalability）：第二層方案（Layer 2）與分片（Sharding）

隱私（Privacy）與匿名（Anonymity）

共識機制的安全性（Safety）與活躍性（Liveness）

最後，如果日後朋友/家人問起「什麼是區塊鏈」時，我想你會知道如何解釋了:)

ELI5! 區塊鏈到底在幹嘛？ was originally published in Taipei Ethereum Meetup on Medium, where people are continuing the conversation by highlighting and responding to this story.

👏 歡迎轉載分享鼓掌

電腦手機網絡安全（三）：二步認證的驗證因素

文：薯伯伯

之前提到要為 SIM 卡上鎖及二步認證，兩個方法是最為基礎的網絡保安措施，實行起來也相對簡單，所以先行在前面兩篇文章介紹了。但要強調，即使鎖上了 SIM 卡及用了二步認證，還是有風險，其中脆弱的環節，是 SIM 卡的安全問題。例如在 2018 年，美國著名網站 Reddit 一批員工的戶口被盜，入侵者是在沒有取得受害者手機的情況下，騎劫了 SIM 卡。

所謂「SIM 卡騎劫」，方法很多，例如冒充卡主打電話去電訊公司，申請更換 SIM 卡，又或者要求電訊公司解鎖電話卡。而大部份電訊公司對用戶的認證，既要顧及客人觀感，又要顧及私隱保安，確是兩難。我有一位做客戶服務的朋友說，卡主登記人是女性，但如果有人用男人的老牛聲打上台，只要對方說自己是女人，他們也不能質疑，否則可能成為公關災難。

就算不用打上台冒充卡主，還有不同的方式去攔截 SMS，上網搜查 SMS interception，即能搜到一大堆示範片段及方法。所以，使用二步認證雖然較為安全，但若然用了較不可靠的驗證因素，便會削弱二步認證的保護力量。

那麼，我們應該如何選擇二步認證的驗證因素呢？常見的驗證因素（factor），包括了以下三類：

一，手機短訊
二，軟件認證
三，硬件認證

軟件認證，就是在手機下載一個專門的動態密碼產生器，即 authenticator，每分鐘也會顯示一組六位數字的驗證碼。操作的情況是，不論在手機或電腦登錄二步認證的網站，先輸入戶口本身的密碼，再在手機上打開動態密碼產生器，取得六位驗證碼，再輸入到網站，才能登入。

動態密碼的手機軟件，最常用的是 Google Authenticator，但這個軟件本身沒有上鎖功能，萬一別人取得你手機的開機密碼，就能進入，感覺還是不太可靠。我推介另一款，叫 Lastpass Authenticator，可設置六位的開啟密碼，Lastpass 本身也是另一家非常有名氣的密碼保安公司，使用起來更覺安心。

具體的設置方式如下，只以 Google 戶口做例子：

先在手機下載 Lastpass Authenticator，地址在： https://lastpass.com/auth/ 免費的（如果要備份，需另外付費，但其實不備份也可以）。

之後用手機或桌面電腦的瀏覽器：

1. 登錄 https://myaccount.google.com/security 並輸入密碼。
2. 選擇「兩步驗證」。
3. 重新輸入 Google 的戶口密碼。
4. 選擇「Authenticator 應用程式」
5. 選擇 Android 或 iPhone，按下一步，出現二維條碼。
6. 在手機上打開 Lastpass Authenticator 的 app，按右下方「＋」號，選擇 Scan Barcode，再掃一掃上一步驟顯示的二維條碼。
7. 用手機掃完二維碼之後，在瀏覽器中的二維碼畫面，按「下一頁」。
8. 在瀏覽器中輸入 Lastpass Authenticator 顯示的六位數字驗證碼，再按「驗證」。
9. 完成。

（以上步驟，其實按著電腦或手機上畫面的指引去做，可能更為容易。）

其他戶口，例如 Facebook、Dropbox 等，也可以類似的方式註冊，但 Apple ID 不支援這個硬件鑰匙的驗證方式。

* * *

之前介紹了手機短訊，以及軟件認證，那麼還有一個方式，即硬件認證。所謂硬件認證，即「安全金鑰」，就是一隻 USB 手指（也有 NFC 無線介面）。操作的情況是，當你用電腦上的瀏覽器登錄戶口時，輸入戶口密碼後，要插入「安全金鑰」，再用手指摸一摸上面的金屬圈，這樣才能登錄網站。

其中最廣為人知的「安全金鑰」，是 Yubico 的出品，官方網站是：https://www.yubico.com/

網站上有多種產品，眼花瞭亂，選擇上，第一個應該考慮的，是你的桌面電腦用 USB-A 還是 USB-C 的接口。至於無線 NFC 或 iPhone 的 Lightning 插頭（尤其 Lightning 插頭，支援實在太少），有點雞肋，可有可無。

如果你用的是 MacBook/PC 及 iPhone，我較為推介的款式，是：

YubiKey 5 Nano（HK$ 390）
YubiKey 5C Nano（HK$ 470）
YubiKey 5C（HK$ 390）

至於 YubiKey 5Ci（HK$ 550），雖然多了一個 Lightning 插頭，但目前支援的軟件太少，有點雞肋。至於 Android 用戶，因為不太肯定實際的支援情況，在此就不詳述了，有經驗的讀者，請在評論區裡分享一下看法。

另外，要留意不是所有瀏覽器也支援使用 YubiKey，支援的瀏覽器包括 Firefox, Chrome, Opera，但是 Safari 則不支援。如果你本身是習慣用 Safari，即使不是因為 YubiKey，其實基於保安及私隱考慮，也建議儘早改用 Firefox。

* * *

購買這類安全產品，跟買安全套一樣，理論上是要避免使用中介渠道或集運公司，因為理論上越多中間人，那麼理論上就越大機會被人做手腳。其中一種做手腳的方式，是企圖入侵的人，把金鑰裡的物理序列號偷偷記錄，並之後用其他方式去產生密鑰。強調是「理論上」，因為估計實行起來，也非容易，太多顧慮，聽起來好像又太多疑，但既然說到網絡安全，當然要在各個可行的層面，也儘量做好防範的措施。例如萬一你的鑰匙被人偷走，非法扣留，又或是買回來的時候包裝已經打開，就最好不用。

在 Yubico 的官方網站，查看各地的代理名單，在香港有一個官方認可以的代理，是：Netmon Information Systems，地址是：觀塘鴻圖道 57 號，南洋廣場 15 樓 1 室。電話是 25272086。網址是 www.netmon.asia ，建議在辦公時間先打電話去查詢存貨量。

* * *

另外，不少人喜歡把手機號碼作為二步認證的其中一個驗證因素，這個用起來雖然方便，但如果你本身已經有軟件認證的 Authenticator 應用程式，又或是硬件認證的安全金鑰，不妨考慮把手機認證這個因素移除，又或是加上可靠朋友的手機號碼做認證。在 Google 的戶口，也可以考慮把 Google Prompt 關掉，至於備用驗證碼，也建議寫在安全的地方，例如告訴可靠的朋友，沒必要放在家裡或身上。

登入戶口當然麻煩了，但謹記一點，如果你總是不用做任何登入步驟，就能自動進入戶口，代表的不只是方便，還有漏洞。

———

照片：幾部老爺智能手機，是 Treo 系列，分別是 650 及 680，都算是我用過的手機裡，最讓人懷念，但又完全不想再重用的智能手機，攝於 2010 年 5 月。

———

* 想追看薯伯伯的文章，請設定本 Page 為「搶先看 / See First」*

Instagram 🥑🥭🍉🍌: pazu

新博客：http://pazu.com/blog

另外還要提一提大家：

【新書速報】Pazu 薯伯伯《不正常旅行研究所》（白卷出版社）——從西藏拉薩到神州大地；由亞洲各國至中東地區。非常人般玩轉奇異世界、紀錄精彩故事文化習俗。

在旺角序言、北角森記、誠品書店及各大書店，均有代售！其中在旺角序言及北角森記，有少量簽名版本。