電腦手機網絡安全（四）：有關安全鑰匙 YubiKey，你問我答

文：薯伯伯

早幾天寫了一篇文章，提到二步認證的安全鑰匙 YubiKey，無獨有偶，《立場》的另一位博客，《茉莉花開：中東革命與民主路》的作者陳婉容原來早在七月份就聯絡了瑞典的 Yubico 公司，希望他們可以贊助香港抗爭者五百條 YubiKey，在核實身份後，這家瑞典公司慷慨地向寄出了五百條 YubiKey，實在令人感動。

我發覺不少人對於 YubiKey 的功能及用法均有誤解，甚至有人認為「有伏」，或誤以為用上 YubiKey 後反而更危險。我回應了一些評語，整合之後發到自己的臉書專頁，《立場》的編輯看到，問可否轉載到《立場》，所以我又花了一點時間，再次整理一下文稿，就成了這篇文章。以下的問題，部份是在陳婉容的臉書帖文評語區選取，我把部份的用字修改。

一

問：若果硬體及 YubiKey 都被其他人拿到，怎辦？

答：即使其他人取得你的 YubiKey，也不能單單使用 YubiKey 便登入你的帳戶。「二步認證」是需要你本身的密碼，以及一個額外的認證因素，才能登入戶口。所以如果別人只是取得你的 YubiKey，但又沒有得到你的帳號密碼，那也是沒有辦法登入你的帳號。

二

問：我本身已經用 Authenticator app 去做二步認證，而不是用手機短訊，那為甚麼仍然要用 YubiKey 呢？

答：用 authenticator app 去做認證，本身已經算是較為安全，但相比起 YubiKey 或其他硬件認證，使用 app 較為花時間，也可能因此較難歸入日常網絡安全生活的一部份。

先說明一下，我強烈建議每次上網之後，都要登出 Facebook 及 Gmail 的戶口，不要長期處於登入的狀態，儘可能避免使用 Facebook app 或 Gmail app，最好是用瀏覽器登錄，並設定瀏覽器關閉的時候，會自動把 cookies 刪除。又或者乾脆使用「隱私模式」，不留痕迹。要把登出及登入，變成上網的常態，要反複練習。

如果你一天要登錄帳戶五次，假如用的是 app 去做認證，安全是安全，但每次都要先找來手機，輸入手機密碼，打開 authenticator app，可能也要再輸入一次 app 密碼，取得六位數字後，再把六位數字傳去電腦，或手動輸入，再按確認，這樣才能登入戶口。

但如果有 YubiKey 或其他硬件認證，過程就相對快速。先輸入帳戶密碼，把 YubiKey 插進電腦，便能登入（注意是密碼加硬件，單靠 YubiKey 是不能登入）。如果你所處的環境是較安全，例如數小時裡都在家中，那隻 YubiKey 可以一直插在電腦，雖然不算完美，但尚能接受。

用上二步認證，是極為關鍵的保安措施，但很多人是因為二步認證的過程繁瑣，所以棄用或懶得去用，從而嚴重危害到戶口安全。YubiKey 的作用，是加速了二步認證的速度，但又不會降低安全系數。

三

問：我應該要有一條還是兩條 YubiKey 呢？

答：按官方的說法，最好是兩條，因為一條常用，一條做後備。但對於大多數用戶來說，其實用一條也是足夠。我會建議大家先買一條，再以其他方式去做後備的密碼重設方案，例如 YubiKey 加上 authenticator app，或記下後備的認證碼（通常有八組，可以交給朋友代為保管）。不過後備的密碼重設方案，不應該用自己的手機號碼。

至於是否需要用兩條，如果你本身打算參加 Google 的高級保護計劃（Advanced Protection Program），你是必須有兩條鑰匙。不過參加了這個計劃之後，使用服務時是極為不便，尤其如果你是用 iPhone 就更為麻煩。（即使是講到明支援 iOS Lightning 接頭的 YubiKey 5Ci，還是不支持 Google 的高級保護計劃認證。）

方便與安全，往往是對立，要取得一個平衡點。我覺得二步認證的安全系數已經足夠，除了特殊的人群，大多數人也沒有必要參加高級保護計劃。而對於不打算參加高級保護計劃的用家來說，一條鑰匙，也是足夠的了。

四

問：YubiKey 會否影響我使用 WhatsApp、Telegram 或 Signal？

答：YubiKey 不支援 WhatsApp、Telegram 或 Signal，所以不會影響你使用這些聊天軟件。

YubiKey 支援的服務，常用的包括 Google 戶口、Facebook、Dropbox 等，還有很多，這裡不一一列出。

五

問：Google 官方推介的那款安全鑰匙，叫 Titan，為甚麼你反而要推介瑞典出品的 YubiKey？

答：Titan 的製造商是飛天誠信（Feitian Technology），總部設於北京。這家公司獲得不少國家認證及讚許，並對其安全產品及科技成就作出高度的認可及肯定，目前並沒有證據顯示這家公司的產品有後門或安全漏洞。

所以，我選擇用瑞典及美國製造的 YubiKey。還有，大家可以比較兩者的設計，YubiKey 真係靚仔好多。

六

問：如果有人用 YubiKey 插進我的電腦，是否沒有密碼就能直接打開電腦？

答：這個要看你如何設置，如果你想設置為開啟電腦時，要先輸入密碼，再插入 YubiKey 才能登入電腦，那你應該要使用 pluggable authentication module（PAM，可插拔認證模塊）。相關設定請看 https://support.yubico.com/support/solutions/articles/15000015045-macos-logon-tool-configuration-guide

如果你是用 PAM 模塊的設定，即使別人取得你的 YubiKey，也不可以打開你的電腦，他是必須有你的 YubiKey，加上你的密碼，才能登入電腦。

不過話又說回來，如果是使用電腦，只要設定妥當，其實不用 YubiKey 開機，也算安全。因為我是用 Mac 機，也只能用 Mac 機的情況去說一下，如何才算安全。

1. 你常用的開機戶口的權限只是 standard 而不是 admin。
2. 你的硬盤本身有開啟加密，即 FileVault。
3. 你本身 admin 及 standard 的戶口密碼夠強。

這三點當中，以第三點最為容易被用家忽略，很多人為了貪方便，開機密碼簡單到不能再簡單，很易被破解，尤其開機的密碼，是容許不停試，即可以使用「蠻力」（brute force）去猜度，所以一定要小心選擇。至於如何選擇強勁密碼，不妨參考骰子密碼法（Diceware），詳見：https://en.wikipedia.org/wiki/Diceware

大家也可以去這裡測試一下自己的密碼安全程度，不要輸入真的密碼，差不多就可以，我的密碼，聲稱是要用 919 萬億年才能破解。 https://howsecureismypassword.net/

七

問：我本身用密碼管理器，密碼是極為複雜，這樣不是已經很安全了嗎？為甚麼還要用 YubiKey？

答：即使是再安全的密碼，如果你的密碼管理器被破解，又或是被人安裝了鍵盤記錄器（keylogger），再複雜的密碼也沒有用，入侵者照樣可以輕易登入你的帳號。所以一定要有二步認證，而為了加快二步認證的過程，並把這個過程變成生活一部份，用硬件認證，是較好的方式。

當然，如果你真的覺得 authenticator app 已經足夠，其實也不一定要付費買安全鑰匙。只是，我兩者皆用過，我覺得鑰匙方便很多。

八

問：為甚麼我覺得有伏？真的安全？？這個東西有沒有後門？

答：可能因為你不了解個技術，所以覺得有伏。

九

問：我是用 iPhone，為甚麼我覺得這類產品對 iPhone 的支援，好像很弱很不足呢？

答：因為這類產品，對 iPhone 的支援，真的很弱很不足啊！即使 YubiKey 出了一款 5Ci 有 lightning 連接頭，但只有極少量的 apps 支援。如果你是用 MacBook 加 iPhone，我建議你只用買 YubiKey 5 (Nano) 或 5C (Nano)，而不用為 iPhone 買 5Ci 那款，那個 lightning 接頭很雞肋。

對於 MacBook ＋ iPhone 的用家來說，最適合的方案，是在 MacBook 用 YubiKey，在 iPhone 還是用 authenticator app。

十

問：可以在哪裡購買 YubiKey？

答：上官網 Yubico.com，或是去官方認可的香港分銷商。

購買這類安全產品，跟買安全套一樣，理論上是要避免使用中介渠道或集運公司，因為理論上越多中間人，那麼理論上就越大機會被人做手腳。

其中一種做手腳的方式，是企圖入侵的人，把金鑰裡的物理序列號偷偷記錄，並之後用其他方式去產生密鑰。強調是「理論上」，因為估計實行起來，也非容易，太多顧慮，聽起來好像又太多疑，但既然說到網絡安全，當然要在各個可行的層面，也儘量做好防範的措施。例如萬一你的鑰匙被人偷走，非法扣留，又或是買回來的時候包裝已經打開，就最好不用。

Yubico 的官方網站顯示，在香港有一個官方認可以的分銷商：Netmon Information Systems，地址是：觀塘鴻圖道 57 號，南洋廣場 15 樓 1 室。電話是 25272086。網址是 www.netmon.asia ，建議在辦公時間先打電話去查詢存貨量。

———

延伸閱讀：

《Yubico 贊助香港抗爭者世上最強網上保安鎖匙Yubikey》（文：陳婉容）：https://www.facebook.com/sherrychanyy/photos/a.517784544922353/2803649153002536/?type=3&permPage=1

電腦手機網絡安全（一）：SIM 卡鎖：https://www.facebook.com/pazukong/photos/a.2007886759444126/2634928633406599/

電腦手機網絡安全（二）：簡介二步認證：https://www.facebook.com/pazukong/photos/a.2007886759444126/2636315873267875/

電腦手機網絡安全（三）：二步認證的驗證因素：https://www.facebook.com/pazukong/photos/a.2007886759444126/2637695243129938/

———

* 想追看薯伯伯的文章，請設定本 Page 為「搶先看 / See First」*

Instagram 🥑🥭🍉🍌: pazu

新博客：http://pazu.com/blog

另外還要提一提大家：

【新書速報】Pazu 薯伯伯《不正常旅行研究所》（白卷出版社）——從西藏拉薩到神州大地；由亞洲各國至中東地區。非常人般玩轉奇異世界、紀錄精彩故事文化習俗。

在旺角序言、北角森記、誠品書店及各大書店，均有代售！其中在旺角序言及北角森記，有少量簽名版本。

電腦手機網絡安全（三）：二步認證的驗證因素

文：薯伯伯

之前提到要為 SIM 卡上鎖及二步認證，兩個方法是最為基礎的網絡保安措施，實行起來也相對簡單，所以先行在前面兩篇文章介紹了。但要強調，即使鎖上了 SIM 卡及用了二步認證，還是有風險，其中脆弱的環節，是 SIM 卡的安全問題。例如在 2018 年，美國著名網站 Reddit 一批員工的戶口被盜，入侵者是在沒有取得受害者手機的情況下，騎劫了 SIM 卡。

所謂「SIM 卡騎劫」，方法很多，例如冒充卡主打電話去電訊公司，申請更換 SIM 卡，又或者要求電訊公司解鎖電話卡。而大部份電訊公司對用戶的認證，既要顧及客人觀感，又要顧及私隱保安，確是兩難。我有一位做客戶服務的朋友說，卡主登記人是女性，但如果有人用男人的老牛聲打上台，只要對方說自己是女人，他們也不能質疑，否則可能成為公關災難。

就算不用打上台冒充卡主，還有不同的方式去攔截 SMS，上網搜查 SMS interception，即能搜到一大堆示範片段及方法。所以，使用二步認證雖然較為安全，但若然用了較不可靠的驗證因素，便會削弱二步認證的保護力量。

那麼，我們應該如何選擇二步認證的驗證因素呢？常見的驗證因素（factor），包括了以下三類：

一，手機短訊
二，軟件認證
三，硬件認證

軟件認證，就是在手機下載一個專門的動態密碼產生器，即 authenticator，每分鐘也會顯示一組六位數字的驗證碼。操作的情況是，不論在手機或電腦登錄二步認證的網站，先輸入戶口本身的密碼，再在手機上打開動態密碼產生器，取得六位驗證碼，再輸入到網站，才能登入。

動態密碼的手機軟件，最常用的是 Google Authenticator，但這個軟件本身沒有上鎖功能，萬一別人取得你手機的開機密碼，就能進入，感覺還是不太可靠。我推介另一款，叫 Lastpass Authenticator，可設置六位的開啟密碼，Lastpass 本身也是另一家非常有名氣的密碼保安公司，使用起來更覺安心。

具體的設置方式如下，只以 Google 戶口做例子：

先在手機下載 Lastpass Authenticator，地址在： https://lastpass.com/auth/ 免費的（如果要備份，需另外付費，但其實不備份也可以）。

之後用手機或桌面電腦的瀏覽器：

1. 登錄 https://myaccount.google.com/security 並輸入密碼。
2. 選擇「兩步驗證」。
3. 重新輸入 Google 的戶口密碼。
4. 選擇「Authenticator 應用程式」
5. 選擇 Android 或 iPhone，按下一步，出現二維條碼。
6. 在手機上打開 Lastpass Authenticator 的 app，按右下方「＋」號，選擇 Scan Barcode，再掃一掃上一步驟顯示的二維條碼。
7. 用手機掃完二維碼之後，在瀏覽器中的二維碼畫面，按「下一頁」。
8. 在瀏覽器中輸入 Lastpass Authenticator 顯示的六位數字驗證碼，再按「驗證」。
9. 完成。

（以上步驟，其實按著電腦或手機上畫面的指引去做，可能更為容易。）

其他戶口，例如 Facebook、Dropbox 等，也可以類似的方式註冊，但 Apple ID 不支援這個硬件鑰匙的驗證方式。

* * *

之前介紹了手機短訊，以及軟件認證，那麼還有一個方式，即硬件認證。所謂硬件認證，即「安全金鑰」，就是一隻 USB 手指（也有 NFC 無線介面）。操作的情況是，當你用電腦上的瀏覽器登錄戶口時，輸入戶口密碼後，要插入「安全金鑰」，再用手指摸一摸上面的金屬圈，這樣才能登錄網站。

其中最廣為人知的「安全金鑰」，是 Yubico 的出品，官方網站是：https://www.yubico.com/

網站上有多種產品，眼花瞭亂，選擇上，第一個應該考慮的，是你的桌面電腦用 USB-A 還是 USB-C 的接口。至於無線 NFC 或 iPhone 的 Lightning 插頭（尤其 Lightning 插頭，支援實在太少），有點雞肋，可有可無。

如果你用的是 MacBook/PC 及 iPhone，我較為推介的款式，是：

YubiKey 5 Nano（HK$ 390）
YubiKey 5C Nano（HK$ 470）
YubiKey 5C（HK$ 390）

至於 YubiKey 5Ci（HK$ 550），雖然多了一個 Lightning 插頭，但目前支援的軟件太少，有點雞肋。至於 Android 用戶，因為不太肯定實際的支援情況，在此就不詳述了，有經驗的讀者，請在評論區裡分享一下看法。

另外，要留意不是所有瀏覽器也支援使用 YubiKey，支援的瀏覽器包括 Firefox, Chrome, Opera，但是 Safari 則不支援。如果你本身是習慣用 Safari，即使不是因為 YubiKey，其實基於保安及私隱考慮，也建議儘早改用 Firefox。

* * *

購買這類安全產品，跟買安全套一樣，理論上是要避免使用中介渠道或集運公司，因為理論上越多中間人，那麼理論上就越大機會被人做手腳。其中一種做手腳的方式，是企圖入侵的人，把金鑰裡的物理序列號偷偷記錄，並之後用其他方式去產生密鑰。強調是「理論上」，因為估計實行起來，也非容易，太多顧慮，聽起來好像又太多疑，但既然說到網絡安全，當然要在各個可行的層面，也儘量做好防範的措施。例如萬一你的鑰匙被人偷走，非法扣留，又或是買回來的時候包裝已經打開，就最好不用。

在 Yubico 的官方網站，查看各地的代理名單，在香港有一個官方認可以的代理，是：Netmon Information Systems，地址是：觀塘鴻圖道 57 號，南洋廣場 15 樓 1 室。電話是 25272086。網址是 www.netmon.asia ，建議在辦公時間先打電話去查詢存貨量。

* * *

另外，不少人喜歡把手機號碼作為二步認證的其中一個驗證因素，這個用起來雖然方便，但如果你本身已經有軟件認證的 Authenticator 應用程式，又或是硬件認證的安全金鑰，不妨考慮把手機認證這個因素移除，又或是加上可靠朋友的手機號碼做認證。在 Google 的戶口，也可以考慮把 Google Prompt 關掉，至於備用驗證碼，也建議寫在安全的地方，例如告訴可靠的朋友，沒必要放在家裡或身上。

登入戶口當然麻煩了，但謹記一點，如果你總是不用做任何登入步驟，就能自動進入戶口，代表的不只是方便，還有漏洞。

———

照片：幾部老爺智能手機，是 Treo 系列，分別是 650 及 680，都算是我用過的手機裡，最讓人懷念，但又完全不想再重用的智能手機，攝於 2010 年 5 月。

———

* 想追看薯伯伯的文章，請設定本 Page 為「搶先看 / See First」*

Instagram 🥑🥭🍉🍌: pazu

新博客：http://pazu.com/blog

另外還要提一提大家：

【新書速報】Pazu 薯伯伯《不正常旅行研究所》（白卷出版社）——從西藏拉薩到神州大地；由亞洲各國至中東地區。非常人般玩轉奇異世界、紀錄精彩故事文化習俗。

在旺角序言、北角森記、誠品書店及各大書店，均有代售！其中在旺角序言及北角森記，有少量簽名版本。

***請必須說明「可即入數亅，非誠勿擾，thanks***
***請必須說明「可即入數亅，非誠勿擾，thanks***
***請必須說明「可即入數亅，非誠勿擾，thanks***
.
ROOM KEY 都接單❣️
$3xx一個
#可即時入數請inbox 💞💞💞快快快💞💞💞
⚠️額滿即止⚠️
(Updated : 28 / 8 / 2019)
.
.
.
🇰🇷德魯納酒店「官方周邊」
***全部都接單，可即時入數請Inbox***
#買唔到會全數退款
#9月中旬至下旬到貨 製作需時❣️
.
.
德魯納酒店「官方周邊」
.
1️⃣ROOM KEY⚠️
官方正品，手工木製ROOM KEY，講到明係非常超級限量❣️
$3xx一個 (⭕有意可落單，並說明選項)
.
✅ VVIP
✅ 13
✅ 404
.
2️⃣員工扣章 (⭕有意可落單)
$xx一個
.
3️⃣男女主角扣章 (⭕有意可落單)
$xx一個
.
4️⃣「滿月」香薰蠟燭 (⭕有意可落單)
***9月上旬開售***
$2xx一個
***氣味、大小已補資料，請見圖或其他post***
.
.
💞💞💞仲有Tee、手機殼、grip tok等授權周邊，歡迎查詢💞💞💞
.
.
.
Room Key介紹：
//房門鑰匙周邊由門牌和鑰匙兩大部分組成。 用櫻桃木製作的門牌因為是手工打造的，而且要陰刻出酒店logo（正面）和門牌號（反面），再用燙金打造高級感，所以一天每種只能製作30個左右。
.
鏤空花紋的復古鍍金鑰匙同樣給人一種高質感帶來的收藏享受。//(source : koreastardaily.com)
.
.
⚠️請記得睇「店介紹」及「代購須知」⚠️
.