電腦手機網絡安全（四）：有關安全鑰匙 YubiKey，你問我答

文：薯伯伯

早幾天寫了一篇文章，提到二步認證的安全鑰匙 YubiKey，無獨有偶，《立場》的另一位博客，《茉莉花開：中東革命與民主路》的作者陳婉容原來早在七月份就聯絡了瑞典的 Yubico 公司，希望他們可以贊助香港抗爭者五百條 YubiKey，在核實身份後，這家瑞典公司慷慨地向寄出了五百條 YubiKey，實在令人感動。

我發覺不少人對於 YubiKey 的功能及用法均有誤解，甚至有人認為「有伏」，或誤以為用上 YubiKey 後反而更危險。我回應了一些評語，整合之後發到自己的臉書專頁，《立場》的編輯看到，問可否轉載到《立場》，所以我又花了一點時間，再次整理一下文稿，就成了這篇文章。以下的問題，部份是在陳婉容的臉書帖文評語區選取，我把部份的用字修改。

一

問：若果硬體及 YubiKey 都被其他人拿到，怎辦？

答：即使其他人取得你的 YubiKey，也不能單單使用 YubiKey 便登入你的帳戶。「二步認證」是需要你本身的密碼，以及一個額外的認證因素，才能登入戶口。所以如果別人只是取得你的 YubiKey，但又沒有得到你的帳號密碼，那也是沒有辦法登入你的帳號。

二

問：我本身已經用 Authenticator app 去做二步認證，而不是用手機短訊，那為甚麼仍然要用 YubiKey 呢？

答：用 authenticator app 去做認證，本身已經算是較為安全，但相比起 YubiKey 或其他硬件認證，使用 app 較為花時間，也可能因此較難歸入日常網絡安全生活的一部份。

先說明一下，我強烈建議每次上網之後，都要登出 Facebook 及 Gmail 的戶口，不要長期處於登入的狀態，儘可能避免使用 Facebook app 或 Gmail app，最好是用瀏覽器登錄，並設定瀏覽器關閉的時候，會自動把 cookies 刪除。又或者乾脆使用「隱私模式」，不留痕迹。要把登出及登入，變成上網的常態，要反複練習。

如果你一天要登錄帳戶五次，假如用的是 app 去做認證，安全是安全，但每次都要先找來手機，輸入手機密碼，打開 authenticator app，可能也要再輸入一次 app 密碼，取得六位數字後，再把六位數字傳去電腦，或手動輸入，再按確認，這樣才能登入戶口。

但如果有 YubiKey 或其他硬件認證，過程就相對快速。先輸入帳戶密碼，把 YubiKey 插進電腦，便能登入（注意是密碼加硬件，單靠 YubiKey 是不能登入）。如果你所處的環境是較安全，例如數小時裡都在家中，那隻 YubiKey 可以一直插在電腦，雖然不算完美，但尚能接受。

用上二步認證，是極為關鍵的保安措施，但很多人是因為二步認證的過程繁瑣，所以棄用或懶得去用，從而嚴重危害到戶口安全。YubiKey 的作用，是加速了二步認證的速度，但又不會降低安全系數。

三

問：我應該要有一條還是兩條 YubiKey 呢？

答：按官方的說法，最好是兩條，因為一條常用，一條做後備。但對於大多數用戶來說，其實用一條也是足夠。我會建議大家先買一條，再以其他方式去做後備的密碼重設方案，例如 YubiKey 加上 authenticator app，或記下後備的認證碼（通常有八組，可以交給朋友代為保管）。不過後備的密碼重設方案，不應該用自己的手機號碼。

至於是否需要用兩條，如果你本身打算參加 Google 的高級保護計劃（Advanced Protection Program），你是必須有兩條鑰匙。不過參加了這個計劃之後，使用服務時是極為不便，尤其如果你是用 iPhone 就更為麻煩。（即使是講到明支援 iOS Lightning 接頭的 YubiKey 5Ci，還是不支持 Google 的高級保護計劃認證。）

方便與安全，往往是對立，要取得一個平衡點。我覺得二步認證的安全系數已經足夠，除了特殊的人群，大多數人也沒有必要參加高級保護計劃。而對於不打算參加高級保護計劃的用家來說，一條鑰匙，也是足夠的了。

四

問：YubiKey 會否影響我使用 WhatsApp、Telegram 或 Signal？

答：YubiKey 不支援 WhatsApp、Telegram 或 Signal，所以不會影響你使用這些聊天軟件。

YubiKey 支援的服務，常用的包括 Google 戶口、Facebook、Dropbox 等，還有很多，這裡不一一列出。

五

問：Google 官方推介的那款安全鑰匙，叫 Titan，為甚麼你反而要推介瑞典出品的 YubiKey？

答：Titan 的製造商是飛天誠信（Feitian Technology），總部設於北京。這家公司獲得不少國家認證及讚許，並對其安全產品及科技成就作出高度的認可及肯定，目前並沒有證據顯示這家公司的產品有後門或安全漏洞。

所以，我選擇用瑞典及美國製造的 YubiKey。還有，大家可以比較兩者的設計，YubiKey 真係靚仔好多。

六

問：如果有人用 YubiKey 插進我的電腦，是否沒有密碼就能直接打開電腦？

答：這個要看你如何設置，如果你想設置為開啟電腦時，要先輸入密碼，再插入 YubiKey 才能登入電腦，那你應該要使用 pluggable authentication module（PAM，可插拔認證模塊）。相關設定請看 https://support.yubico.com/support/solutions/articles/15000015045-macos-logon-tool-configuration-guide

如果你是用 PAM 模塊的設定，即使別人取得你的 YubiKey，也不可以打開你的電腦，他是必須有你的 YubiKey，加上你的密碼，才能登入電腦。

不過話又說回來，如果是使用電腦，只要設定妥當，其實不用 YubiKey 開機，也算安全。因為我是用 Mac 機，也只能用 Mac 機的情況去說一下，如何才算安全。

1. 你常用的開機戶口的權限只是 standard 而不是 admin。
2. 你的硬盤本身有開啟加密，即 FileVault。
3. 你本身 admin 及 standard 的戶口密碼夠強。

這三點當中，以第三點最為容易被用家忽略，很多人為了貪方便，開機密碼簡單到不能再簡單，很易被破解，尤其開機的密碼，是容許不停試，即可以使用「蠻力」（brute force）去猜度，所以一定要小心選擇。至於如何選擇強勁密碼，不妨參考骰子密碼法（Diceware），詳見：https://en.wikipedia.org/wiki/Diceware

大家也可以去這裡測試一下自己的密碼安全程度，不要輸入真的密碼，差不多就可以，我的密碼，聲稱是要用 919 萬億年才能破解。 https://howsecureismypassword.net/

七

問：我本身用密碼管理器，密碼是極為複雜，這樣不是已經很安全了嗎？為甚麼還要用 YubiKey？

答：即使是再安全的密碼，如果你的密碼管理器被破解，又或是被人安裝了鍵盤記錄器（keylogger），再複雜的密碼也沒有用，入侵者照樣可以輕易登入你的帳號。所以一定要有二步認證，而為了加快二步認證的過程，並把這個過程變成生活一部份，用硬件認證，是較好的方式。

當然，如果你真的覺得 authenticator app 已經足夠，其實也不一定要付費買安全鑰匙。只是，我兩者皆用過，我覺得鑰匙方便很多。

八

問：為甚麼我覺得有伏？真的安全？？這個東西有沒有後門？

答：可能因為你不了解個技術，所以覺得有伏。

九

問：我是用 iPhone，為甚麼我覺得這類產品對 iPhone 的支援，好像很弱很不足呢？

答：因為這類產品，對 iPhone 的支援，真的很弱很不足啊！即使 YubiKey 出了一款 5Ci 有 lightning 連接頭，但只有極少量的 apps 支援。如果你是用 MacBook 加 iPhone，我建議你只用買 YubiKey 5 (Nano) 或 5C (Nano)，而不用為 iPhone 買 5Ci 那款，那個 lightning 接頭很雞肋。

對於 MacBook ＋ iPhone 的用家來說，最適合的方案，是在 MacBook 用 YubiKey，在 iPhone 還是用 authenticator app。

十

問：可以在哪裡購買 YubiKey？

答：上官網 Yubico.com，或是去官方認可的香港分銷商。

購買這類安全產品，跟買安全套一樣，理論上是要避免使用中介渠道或集運公司，因為理論上越多中間人，那麼理論上就越大機會被人做手腳。

其中一種做手腳的方式，是企圖入侵的人，把金鑰裡的物理序列號偷偷記錄，並之後用其他方式去產生密鑰。強調是「理論上」，因為估計實行起來，也非容易，太多顧慮，聽起來好像又太多疑，但既然說到網絡安全，當然要在各個可行的層面，也儘量做好防範的措施。例如萬一你的鑰匙被人偷走，非法扣留，又或是買回來的時候包裝已經打開，就最好不用。

Yubico 的官方網站顯示，在香港有一個官方認可以的分銷商：Netmon Information Systems，地址是：觀塘鴻圖道 57 號，南洋廣場 15 樓 1 室。電話是 25272086。網址是 www.netmon.asia ，建議在辦公時間先打電話去查詢存貨量。

———

延伸閱讀：

《Yubico 贊助香港抗爭者世上最強網上保安鎖匙Yubikey》（文：陳婉容）：https://www.facebook.com/sherrychanyy/photos/a.517784544922353/2803649153002536/?type=3&permPage=1

電腦手機網絡安全（一）：SIM 卡鎖：https://www.facebook.com/pazukong/photos/a.2007886759444126/2634928633406599/

電腦手機網絡安全（二）：簡介二步認證：https://www.facebook.com/pazukong/photos/a.2007886759444126/2636315873267875/

電腦手機網絡安全（三）：二步認證的驗證因素：https://www.facebook.com/pazukong/photos/a.2007886759444126/2637695243129938/

———

* 想追看薯伯伯的文章，請設定本 Page 為「搶先看 / See First」*

Instagram 🥑🥭🍉🍌: pazu

新博客：http://pazu.com/blog

另外還要提一提大家：

【新書速報】Pazu 薯伯伯《不正常旅行研究所》（白卷出版社）——從西藏拉薩到神州大地；由亞洲各國至中東地區。非常人般玩轉奇異世界、紀錄精彩故事文化習俗。

在旺角序言、北角森記、誠品書店及各大書店，均有代售！其中在旺角序言及北角森記，有少量簽名版本。

香港資訊科技商會榮譽會長方保僑表示，其中兩個應用程式設有「要求刪除號碼(Opt-Out)」服務，用戶可以主動要求刪去資料，其中「Sync.ME」網址為https://sync.me/optout/，只要輸入電話號碼及聯絡姓名與電郵即可，該公司承諾接到用戶要求24小時內會將資料刪除；另一程式則是「Truecaller」，網址為https://www.truecaller.com/unlist，但用戶必須自行填寫區號，即香港+852，如你的電話號碼是98765432，必須填上+85298765432，然後按I'm not a robot旁的正方框，再按下面的「Unlist」藍色按鍵。

方保僑提醒，打算在「Truecaller」檢查自己號碼的用戶，緊記要申請新電郵帳戶，否則會洩露更多資料。因為「Truecaller」要求用戶先登入Gmail或Microsoft的電郵，方可進行查詢，但途中又會再要求用戶授權獲取更多資料，所以應開設一個新電郵帳戶處理。方再提醒，用戶要求取消電話後，應在24小時後再進行搜尋，確認資料經已刪除。

最保障的程序有三步，第一是開設新電郵進行檢查，第二是要求刪除資料，第三是一定時間後再次檢查資料是否經已刪除。

負責「WhatsCall」的手機安全軟體CM Security宣布，「來電辨識」功能經用戶同意上傳通訊錄，但無法避免有心人士的不當使用，因此暫時關閉查詢聯絡人的功能。
http://hd.stheadline.com/news/realtime/hk/774868/