[爆卦]此電腦必須支援安全開機是什麼?優點缺點精華區懶人包

雖然這篇此電腦必須支援安全開機鄉民發文沒有被收入到精華區:在此電腦必須支援安全開機這個話題中,我們另外找到其它相關的精選爆讚文章

在 此電腦必須支援安全開機產品中有6篇Facebook貼文,粉絲數超過3,992的網紅台灣物聯網實驗室 IOT Labs,也在其Facebook貼文中提到, 佈署 IoT Edge 和霧運算技術以開發智慧建築服務 2021年2月19日 星期五 《3S MARKET》這篇報導把物聯網的架構與實作,描寫的非常詳細,雖然在建築的細節上描述不多,但報導中也提及這是個實際驗證,可適用在很多的場域。不知道,有多少人真正看得懂?當然,連這篇都看不懂的人,就別說他真...

  • 此電腦必須支援安全開機 在 台灣物聯網實驗室 IOT Labs Facebook 的最佳解答

    2021-03-08 17:17:29
    有 0 人按讚

    佈署 IoT Edge 和霧運算技術以開發智慧建築服務

    2021年2月19日 星期五

    《3S MARKET》這篇報導把物聯網的架構與實作,描寫的非常詳細,雖然在建築的細節上描述不多,但報導中也提及這是個實際驗證,可適用在很多的場域。不知道,有多少人真正看得懂?當然,連這篇都看不懂的人,就別說他真正了解物聯網、Edge 與 Cloud。

    事實上這篇報導的描述不難了解,真正物聯網與邊緣運算的挑戰,是在實作。實作真正面臨的,是這些數據處理、融合、分析上的完整度,還有 —— 找到實作的場景!

    摘要

    基於 SoC 架構的嵌入式系統的進步,使許多商業設備的開發變得足夠強大,足以運行操作系統和複雜的算法。這些設備整合了一組具有連通性、運算能力和成本降低的不同感測器。在這種情況下,物聯網(IoT)的潛力不斷增加,並帶來了其他發展可能性:「事物」現在可以增加數據源附近的運算量;因此,可以在本地系統上,佈署不同的物聯網服務。

    這種範例稱為「邊緣運算」,它整合了物聯網技術和雲端運算系統。邊緣運算可以減少感測器與中央數據中心之間,所需的通信頻寬。此方法需要管理感測器、執行器、嵌入式設備,和可能不連續連接到網路的其他資源(例如智慧手機)。這種趨勢對於智慧建築設計非常有吸引力,在智慧建築設計中,必須整合不同的子系統(能源、氣候控制、安全性、舒適性、使用者服務、維護和營運成本)以開發智慧設施。在這項工作中,分析和提出了一種基於邊緣運算範例的智慧服務設計方法。

    這種新穎的方法,克服了現有設計中與服務的互操作性,和可伸縮性有關的一些缺點。描述了基於嵌入式設備的實驗架構。能源管理、安全系統、氣候控制和資訊服務,是實施新智慧設施的子系統。

    1. 簡介

    建築自動化系統使用開放式通信標準和介面,可以整合多種不同的建築控制規則,例如供暖、通風、空調、照明和百葉窗、安全功能和設備。但是,現有建築物通常不具有這些系統。

    通常,每種安裝類型都提供特定的服務:供暖通風和空調(HVAC)控制氣候服務,攝影機和感測器提供安全服務等。僅當設計能源管理系統時,不同的子系統相關,但僅透過以下方式,連接建築物的能源管理系統。能源管理服務,集中在專用軟體中。

    對於使用者和維護技術人員來說,提供不同服務的不同製造商,發現很難整合新的服務和功能。自動化建築將用於控制和數據採集的軟體,與工業協議和介面整合在一起。此外,將新服務整合到這種解決方案中並不容易,這取決於已安裝軟體的開發。

    這些工業發展還為能源管理,提供了雲端連接解決方案和智慧服務。這些服務,也在集中式電腦系統中開發。數據被傳輸到這些系統或雲端進行分析。本文提出使用佈署在物聯網(IoT)技術中的邊緣和霧運算範例,主要有兩個目的:

    A. 在自動化和非自動化建築物中,促進新的智慧和可互操作服務的整合(整合)。

    B. 允許在建築物的所有子系統之間,分配智慧服務(互操作性)。

    透過該建議,可以促進建築物子系統之間的關係。它還促進創建新的智慧服務(例如,新的分佈式智慧控制算法;使用電源管理捕獲的數據,來檢測人類活動;捕獲設備連接的模式辨識,運算可再生電力預測,在安全服務中使用電力數據等)。在這項工作中,我們設計了一個中間軟體的體系結構,該體系結構具有兩個主要層,這些層基於嵌入式設備、IoT 通信協議和硬體支援,來開發人工智慧算法(圖1)。

    為了實現這一目標,我們在建築物的設施中添加了兩個概念等級:邊緣節點和霧節點。每個等級都有不同種類的設備和功能。我們佈署並實現了基於層的中間軟體的體系結構,以對模式進行實驗。

    本文的組織結構如下:第 2 節回顧了智慧建築技術,建築物中的 IoT 佈署以及邊緣運算範例。第 3 節提出了一種在建築物(自動與否)中佈署邊緣和霧運算範例的方法。第 4 節介紹了進行的實驗。最後,第 5 節介紹了結論和未來的工作。

    2. 相關工作

    本節介紹與這項工作相關的主要研究領域。首先,我們在分析雲端運算層之後,回顧了基於邊緣運算範例的資源和服務供應。最後,我們研究了實現智慧建築的技術,並在最後的小節中,總結了先前研究的貢獻。

    2.1. 邊緣運算資源和服務供應

    最近,網路在兩端被標記為「邊緣」和「核心」,以查明處理發生的位置。邊緣端靠近數據源和使用者,核心端由雲端伺服器組成。透過這種方式,邊緣運算範例將運算推送到 IoT 網路的邊緣,以減少數據處理延遲,和發送到雲端的數據數量。基於雲端的後端,可以處理對時間不太敏感,或源設備本身不需要結果的處理請求(例如,物聯網網路狀態下的大數據分析)。

    在邊緣運算資源供應方面,正在進行的 Horizo​​n 2020 RECAP 項目,提出了一種整合的雲端 - 邊緣 - 霧端架構,目的在解決應用放置、基礎架構管理和容量供應。雲端/邊緣基礎架構監控功能豐富了應用,基礎架構和工作負載模型,這些模型又被回饋到優化系統中,該系統可以協調應用並持續配置基礎架構。

    徐等人進行的研究。 提出了一種用於邊緣運算的實用感知資源分配方法,稱為 Zenith。借助 Zenith,服務提供商可以與邊緣基礎設施提供商,建立資源共享合同,從而允許延遲感知資源調配算法,以滿足其延遲需求的方式,來調度邊緣任務。

    邊緣節點資源管理(簡稱 ENORM),是管理邊緣/霧節點資源的框架,可透過監控應用需求,來自動擴展邊緣節點。可以透過靜態優先等級分配,來確定特定應用的優先等級。供應和自動縮放機制,是基於線性搜索的相對簡單的實現。

    當源本身是可行動的時,邊緣雲範例也是可行的。 Chen 等人研究了行動設備向邊緣節點(特別是在無線電接入網路邊緣)的智慧運算分流。在這項工作中,作者提供了任務卸載算法,將分佈式運算卸載決策表述,為多使用者運算卸載功能。在同一項工作中,Wang 等人研究了聯合協調卸載任務,到多個邊緣節點的問題,並提出在邊緣等級引入及准入控制,以及兩階段調度方法,與傳統的最近邊緣選擇方法相比,改進了卸載性能。

    2.2. 雲端運算服務配置

    就社會和行業採用資訊技術而言,雲端運算範例是最具創新性的策略之一。提供的優勢提高了效率,並降低了成本,同時提供了可透過 Internet,普遍存取訪問的按需 IT 資源和服務。

    當前,雲端運算服務種類繁多,甚至如何提供,這是一個受到廣泛研究的主題,正在提出許多的方案。甚至有評論總結了雲端運算範例的相關研究。

    本小節介紹了有關以下問題的先前工作,這些問題與本手稿的主題有關:(i)安全性; (ii)服務品質(QoS); (iii)提供邊緣服務。

    (i)安全是雲端運算中一個具有挑戰性的問題。雲端服務位於應用環境之外,並且超出了防火牆的保護範圍,因此,需要附加的安全層。另外,邊緣和霧運算應用的行動性和異構性,使得難以定義單個過程。因此,需要一種分佈式安全策略。

    此外,必須有一個標準化的環境,才能正確解決此問題,並指定霧運算和邊緣設備,如何相互協作。網路邊緣上的多個霧節點之間的敏感數據通信,需要資源受限的事物的輕量級解決方案。另一個與安全性相關的問題是數據位置。在雲端中運行數據分析是很常見的。因此,關於數據安全或隱私的公有雲與私有雲的爭論就出現了。

    (ii)分配給雲端應用的資源,通常是根據合同規定的服務水準協議(SLA)所設置的。但是,實際上,由於偶爾執行大量事務,而導致分配的基礎結構飽和,可能會出現瓶頸。為了解決此問題,可以在資源可用時,動態擴展雲端基礎架構。當前,最具創新性的趨勢,目的在建構自動 SLA 合同合規系統。在 Faniyi 和 Bahsoon,以及 Singh 和 Chana 進行的研究中,可以找到與品質服務管理相關建議的詳盡綜述。考慮到這一點,提出了幾種策略來預測,應用的資源需求和 QoS 的要求。最近的工作試圖將安全性和 QoS 問題結合起來,以提供全面的性能指標。

    (iii)最後,濫用雲端服務,是該領域的另一個問題。物聯網環境是霧和邊緣設備不斷加入或離開,動態的執行前後關聯。因此必須在網路邊緣提供彈性的服務。為此,在網路的可用設備之間,共享應用工作負載,可以為高階運算應用提供靈活性。提出了可靠的服務供應方法,來為系統提供更高的彈性,並提供靈活和優化的雲端服務。

    在本主題中,將雲端框架和中間軟體技術,設置為與雲端層,以及具有不同介面操作系統,和體系結構的設備之間,進行通信的平台。

    2.3. 物聯網在建築服務工程中

    物聯網開發為在建築物上,開發數位服務提供了新資源。建築物中常見的物聯網應用,包括節能的過程環節、維護改進、雜務自動化和增強安全性。由於全球變暖,建築物的節能是一個重要的課題。

    物聯網技術引入智慧建築,不僅可以減少本地溫室氣體排放,還可以將減少溫室效應擴大到更大的領域。目前,物聯網還被用於建築領域,以協助設施管理。物聯網使營運系統能夠提供更準確和更有用的資訊,從而改善營運,並為房客租戶提供最佳體驗。有基於物聯網的建議,這些建議顯示建築系統,如何與雲端進行通信,並分析所獲取的數據,以開發新的業務見解,從而能夠推動真正的增值和更高的績效。

    實驗研究顯示,物聯網平台不僅可以改善,工業能源管理系統中實體的互連性,而且可以降低工業設施的能源成本。 FacilitiesNet 表示,建築物聯網(BIoT)正在推動我們獲取資訊,彼此互動和做出決策的方式發生重大轉變。BIoT 不僅與連接性或設備數量有關,而且還與交付實際和相關結果有關。當前,有很多基於物聯網的智慧家庭應用的例子。

    然而,智慧設備或「物」,僅僅是連接到網路的設備或嵌入式系統。增值來自設計協調系統,和提供智慧服務,以提供實際收益的能力。這些特徵基本上,取決於對不同類型連接事物的異質性,及其互操作性的管理,並取決於數據處理提供的情報潛力。

    Tolga 和 Esra 進行的研究得出的結論是,就智慧家庭系統中的軟體和硬體而言,物聯網技術尚未變得穩定。原因之一,有可能是物聯網技術仍處於發展階段。McEIhannon 所撰寫有關物聯網應用的邊緣雲和邊緣運算的未來,其評論得出了類似的結論。這篇評論提到概念和發展,目前還處於早期階段,從學術和行業的角度來看,許多挑戰都需要解決。

    物聯網帶來了新的機會,但許多企業仍在尋求了解和分析,其將如何影響,並與現有的 IT 結構和管理策略整合。為此,必須創建專門的使用模式和技術,來彌合這一差距。

    2.4. 發現

    以下結論闡明了這項研究建議的新穎之處:

    雲端運算作為「實用」的一般概念,非常適合智慧家庭應用的常規需求。但是,在某些情況下,將所有運算都移到雲端中,是不切實際的。

    邊緣計算作為一種計算範例而出現,可以在物聯網設備生成的數據附近執行計算。這種範例可能有助於滿足最新應用的安全性和 QoS 的要求。

    當前,控制子系統的高級建築設施,通常使用 Internet、IoT 協議和 Web 服務。專有系統是使用標準的 Internet 通信協議設計的,用於管制和監控。先前的工作顯示,基於無線感測器網路、Web 介面和工業控制模式,用於氣候控制、電源管理或安全性的控制系統,使用不同的監視和控制技術。監控應用分析,得自監控和數據採集系統中的這些子系統。對於不同的子系統,有不同的解決方案。考慮到上述情況,本工作中提出的模式,引入了以下新穎元素:

    A. 介紹了一種分層架構(整合了邊緣和霧端等級),以及提供子系統之間互操作性,以及在建築物控制中開發智慧服務的方法,該方法使用了邊緣和霧端範例,這些範例將 IoT 協議整合在一起,並在本地 Intranet 中操作 AI 技術,讓雲端服務的通信層,完善了該層的架構。

    B. 介紹了一種基於使用者為中心的方法,用於在互操作性需求下設計、驗證和改進新服務。

    C. 該提案允許使用可以在已建的建築物中,實施的非專有硬體和軟體系統。

    3. 計算模式設計

    建築物中的設施子系統分為有照明、氣候、能源、安全、警報、電梯等。在自動化建築中,這些子系統由專門的控制技術控制和監控。在非自動化建築物中,不存在這些服務,並且子系統透過電子和電氣方式進行控制。在這兩種情況下,所有子系統都為建築營運,提供必要的服務。

    從邏輯上講,每個子系統都在其場景中起作用,並且不能與其他子系統互操作。嵌入式電子控制器和連接的不同感測器,可以使每個子系統自動化。這些服務都是基於直接反應性控制規則。除了嵌入式控制系統和感測器之外,通信技術(基於 Internet 協議)和新的行動設備還為開發管制、監控和數據訪問服務,提供了新的可能性。

    在智慧型動設備上開發,並連接到 Web 伺服器的人機介面和專用應用,是近年來已實現的服務的範例。每個子系統中的專家(氣候、安全性、電源等),都具有可以轉換為專家規則的知識。這些規則被轉換為用於管理、維護、控制、優化和其他活動的控制算法。這些規則是可以,在可程式設備上編程和實現的。但是,它們是靜態的,不會在出現新情況時發生變化,並且不能互操作,也無法適應每個安裝的特性。

    例如,氣候或安全專家決定,如何使用標準啟動條件,來配置每個子系統。每個控制規則僅在一個子系統(此範例中為氣候或安全性)中工作,因此,這些子系統之間沒有互操作性。考慮到這種情況,提出的模式有助於並允許,基於不同子系統的互操作性,來整合新的數位服務,並將人工智慧(AI)技術的新服務,引入當前設施。

    例如,諸如電梯控制的設施,可以用於安全服務或建築能源管理服務。氣候控制設施,可以與安全子系統整合在一起。整合到模式中的天氣預報軟體系統,可以由能源管理服務,或建築物空調服務使用。

    目的是讓每個子系統中的專家,參與設計整合服務,並將所有子系統轉換為可互操作的系統。該模式會開發自動規則,並允許在考慮安裝行為本身的情況下進行決策。該模式基於一個過程,該過程包括四個開發階段(圖2)和分為不同級別的硬體 - 軟體體系結構(圖3)。該體系結構的主要等級,是邊緣等級和霧等級。這兩個層次介紹了在建築物中,應用物聯網技術的新穎性。下面介紹了模式的各個階段(分析、設計、實施和啟動)。

    .分析:在此階段確定了不同的專家使用者(氣候、安全、電力、水、能源、管理人員,以及資訊和通信技術(ICT)技術人員)。諮詢專家使用者,以指定需要控制的主要過程。資訊通信技術專家作為整合環節,參與了這一過程。第一種方法產生了設計控制規則,和潛在服務所需的事物(對象)。在此階段,使用以使用者為中心的方法,並捕獲子系統的需求。

    .設計:我們提出了一個三層架構(邊緣、霧端和雲端),如圖 3 所示。

    .實施和數據分析:在此階段中已安裝和整合了子系統。服務基於每個子系統中的規則,分析事物(對象)生成的數據,以設計基於機器學習的服務。

    .啟動:最初,在每個子系統的監督下制訂專家規則。然後,使用回饋過程安裝規則。最後,透過人工智慧技術,可以推斷出自動的和經過調整的規則。

    3.1. 分析與設計

    專家使用者對此過程,進行不同的審查。以使用者為中心的技術,用於設計整合流程。目的是獲得所需的所有事物(對象),它們之間的關係,以及潛在的服務。一旦指定了事物(對象)和服務,就必須關聯通信協議和控制技術。選擇了物聯網協議和嵌入式控制器;提出了人機介面;指定了邊緣層和霧層及其功能;分析專家規則和智慧服務。最後,提出了維護和操作方法。所有這些任務在專家技術人員,和資訊技術專家之間共享。

    結果是事物的定義,它們之間的關係,以及與邊緣和霧層的交互作用。該過程中代表了建築物的所有子系統,數據感測器、執行器、控制器、規則和過程經過設計,可以整合所有子系統。數據集、對象和設備,由物聯網概念表示。事物由具有狀態和配置數據的實體,和前後關聯組成。事物數據位於霧和邊緣節點中,儲存的不同配置中的關聯性。

    事物以數據向量表示:[ID、類型、節點、前後關聯情境]。

    – ID是辨識碼。

    – 類型可以是感測器、執行器、變量、過程、設備、介面、數據儲存,或可以在 IoT 生態系統中寫入、處理、通信、儲存或讀取數據的任何對象。

    – 節點指定建築物子系統、功能描述、層類型(邊緣、霧端、通信或雲端)、IoT 協議和時程存取訪問。

    – 前後關聯表示在 IoT 生態系統中,用於發布或讀取數據的時間、日期、位置,與其他事物的關係、狀態和訪問頻率。

    表 1 是由事物([ID、類型、節點])。所有事物都可以訪問配置文件(CF),以了解如何使用可用數據,以及如何使用適當的訪問權限配置新數據。前後關聯數據位於內建記憶體,或是靜態儲存。使用定義的事物,設計不同的控制規則。這些控制規則是分佈在連接到網路的不同嵌入式系統中,控制過程的一部分。事物表示佈署在安裝的不同子系統中,所有的可用資源。在此等級上,設計師對所有事物進行分析、指定和關聯。基本控制算法是使用此資訊實現的。配置關聯性允許層和設備之間,所有事物的互操作性。

    在此階段的另一級設計,必須提出物聯網管理中,使用的節點要求和規範。設計的流程和服務,將在邊緣或模糊節點中實施。必須指定每個節點,以確定其內部功能、通信及其服務。在獲取數據的地方,開發了智慧和處理能力。邊緣和霧層的節點,位於數據感測器、執行器和控制器附近。本文提出的方法,使用具有兩個功能的兩層(邊緣和霧端)。每一層都可以佈署互連節點的網路,以促進互操作性。

    邊緣和霧層的功能是:

    邊緣層功能:在連接感測器/執行器的嵌入式設備上,開發的控制軟體。某些 AI 算法可以安裝在邊緣節點上。中央處理器(CPU)和計算資源有限。安裝了通信介面,以允許在本地網路中進行整合。

    霧層功能:局域網級別的通信、AI 範例、儲存、配置關聯性和監控活動。霧節點透過處理、通信和儲存,來處理 IoT 的Gateway、伺服器設備,或其他設備中的數據。在此等級實施本地、全球的整合服務。利用這些節點的硬體、軟體和通信功能,開發了基於機器學習範例的算法。霧層設備還可以在很少單位的設施或服務中,執行邊緣節點功能。

    透過這兩個等級,可以優化建築設施,以獲得不同子系統之間的整合和互操作性。

    表 1 顯示了每件事與關聯性配置,和節點規範的關係。節點標識其所屬的子系統(控制、能源、氣候等),層(霧端、邊緣、通信和雲端)及其執行的功能。

    3.2. 架構設計

    在分析和設計階段,獲得對象(事物)及其關係。規範和要求用於實現每個層。實施取決於提供所需功能的設計,和現有技術(硬體、通信和軟體)。在此階段,開發了一種適合現有設施的體系結構。物聯網協議提供互操作性,而 AI 範例則提供了適應性和優化性。邊緣運算節點用於控制設備,霧運算節點安裝在本地網路節點上。這些等級為配置、安裝和運行新流程,提供了強大的資源。

    物聯網協議,傳達所有子系統數據。每個子系統由對象/事物(虛擬等級)組成,安裝為可連接的感測器/執行器/控制器設備(硬體等級)。

    物聯網通信中,針對建築場景建立的要求是:標準協議、低功耗、易於存取訪問和維護、支援整合新模組,非專有硬體或軟體,以及低成本設備。

    MQTT 協議,是目的在用於提供整合和互操作性資源,異構通信場景的主要物聯網協議之一。該協議被提議作為感測器、執行器、控制器、通信設備,和子系統之間的通信範例。

    MQTT 協議的一些主要功能,在不同的著作中有所顯示,這使其特別適合於這項研究。他們之中有一些是:

    .它是針對資源受限的場景開發的發布 - 訂閱消息協議。

    .它具有低頻寬要求。

    .這是一個非常節能的協議。

    .編程資源非常簡單,使其特別適合於嵌入式設備。

    .具有三個 QoS 等級,它提供了可靠和安全的通信。

    MQTT 開發了無所不在的網路,該網路支持 n-m 節點通信模式。任何節點都可以查詢其他節點,並對其進行查詢。在這些情況下,任何節點都可以充當基地台的角色,能夠將其資訊傳輸到遠端處理位置。無處不在的感測器網路(USN)中的節點,可以處理本地數據。如果使用 Gateway,則它們具有全局可訪問性;他們可以提供擴展服務。

    節點(邊緣或霧),可以具有本地和全局存取訪問權限。這些設施具有不同的可能性和益處。本地數據處理,對於基本過程控制是必需的,而全局處理則可用於模式檢測和資訊生成。從這個意義上講,擬議的平台使用了組合功能:連接到 IoT 雲端服務,本地網路區域上不同的 USN。在這種情況下,運算層(邊緣或模糊等級)將用作控制流程和雲端服務之間的介面。該層可以在與雲端進行通信之前,進行處理數據。

    實現邊緣和霧端運算節點需要執行三個操作:

    .連接和通信服務:所有設備必須在同一網路中,並且可以互操作。所有感測器和執行器都可用於開發服務。此活動的一個示例,是在 Internet 上遠端讀取建築物的電源參數、環境條件和開放的天氣預報數據。此活動中應實現其他功能,例如連接的安全性、可靠性和互操作性。

    .嵌入式設備(邊緣運算層)中的控制算法和數據處理:在此活動中,這些設備中實現的基本控制規則和數據分析服務,可以開發新功能。此階段可以應用於數據過濾、運算氣候數據或分析功耗、直接反應控製,或使用模式辨識技術檢測事件。

    .Gateway 節點(霧運算層)上的高階服務:此等級使用和管理 AI 範例,和 IoT 通信協議。霧運算節點對數據執行智慧分析,對其進行儲存,過濾並將其傳遞到不同等級,以糾正較低級別的新控制措施,或者生成雲端中服務感興趣的資訊。此階段的應用示例,包括分析新模式、預測用水量,或功耗、智慧檢測和其他預測服務。

    3.3. 測試與回饋

    在測試階段使用標準方法,邊緣和霧層提供不同的功能。提出了針對不同子系統的機器學習模式,並且可以將其安裝在邊緣或霧節點上。必須執行以下操作,來測試機器學習應用:

    A. 定義和捕獲數據集:必須辨識、捕獲和儲存主要變量。在不同的建築子系統中,過程數據集是由連接到邊緣層的感測器捕獲的數據。使用通信協議監控和儲存數據集。一個案例是電表,該電表在配電盤中連接到嵌入式設備(邊緣節點),該嵌入式設備傳送電力數據,以在霧節點設備中儲存和處理。

    B. 訓練數據集和形式辨識模式。先前數據集的一個子集,用於訓練不同的模式。評估針對從未用於訓練的數據測試模式,此過程的結果已由專家使用者驗證。目的是獲得一組代表性的結果,以了解模式在現實世界中的表現。

    C. 實際場景中的驗證:必須在邊緣和霧節點上,實施新的服務和控制算法。這些模式具有用於分析數據,實施特定模式,並使用結果開發最佳參數的算法。在此階段,可以修改或進行改善模式。

    D. 用統計術語和模式演變,得出測試結果:基於 AI 算法的模式而將產生近似值,而不是精確的結果。分析應用結果以確定置信度,並允許模式演化。該活動支持開發新的 AI 服務,或對已實現的算法進行修改。有監督的自動更改,是維護和改進系統的過程。此階段的過程,包括所有模式層。

    建議對使用邊緣和霧,任何的安裝進行這些活動。如前所述,該模式既可以安裝在既有舊的建築物中,也可以安裝在新建築物中。對於新建築設計,基於建議模式的安裝更易於整合。此外,可以提供的服務的潛力,也使其對於既有建築物具有吸引力。

    4.在建築子系統中,實施智慧服務

    該模式在預先存在的住宅建築物上,進行了測試。設計和實施電源管理、管制和監控服務。物聯網協議(MQTT 和 HTTP)和 ML 範例,用於建議的層體系結構。基於 KNN 的機器學習方法,和樹決策算法用於管理功耗(家用電器),和可再生能源發電(風能和太陽能)。使用房屋中的霧節點,在雲端平台上實現監控和統計數據。該節點連接到控制可再生,和家用電器子系統的不同邊緣節點。

    在圖 6 中,邊緣節點,整合在先前安裝的可再生子系統中。透過邊緣層上的這種新設備、電源管理、安全控制和操作流程得以整合,並且可以與其他子系統互操作。可以設計新的智慧服務。邊緣節點將數據傳輸到霧節點 Gateway,該 Gateway 管理功耗和發電,並控製家用電器。該節點中的輸入,是可再生能源發電的數據。輸出控件是 ON-OFF 開關,用於優化發電、安全性和操作。

    4.1. 分析與設計

    分析了住宅建築,以設計電源管理,安全和控制服務。 在第一種方法中,所需的主要事物(對象),它們之間的關係和不同的服務,如表 2 所示。

    4.2. 執行

    分析房屋中的建築子系統,以整合這個執行模式層:邊緣控制、霧服務,與雲端的通信和雲端服務。 選擇了本實驗工作中使用的感測器、執行器和控制過程(事物)。 表 3 列出了使用的嵌入式設備。

    家庭服務中的控制過程,需要反應時間和互操作性。人機介面、數據存取訪問和分析服務,是本地和雲端運算上的服務。上面提到的兩個需求,都使用不同的協議處理:控制/通信上的 MQTT,和雲端服務上的 HTTP(RESTful API)是用於整合,並使所有子系統互操作的 IoT 協議。在提出的該層模式中,還使用 MQTT 協議、控制、數據處理,以及使用 RESTful 協議,到雲端的數據通信,來開發機器對機器(M2M)應用。

    MQTT 使用開放的消息協議,該協議可以將遙測樣式的數據(即在遠端位置收集的測量結果),以消息的形式,從設備和感測器,沿著不可靠或受約束的網路傳輸,到伺服器(BROKER)。消息是簡單、緊湊的二進制數據包,有效載荷(壓縮的標頭,比超連結傳輸協議(HTTP)少得多的詳細資訊),並且非常適合推送簡單的消息傳遞方案,例如溫度更新或移動通知。例如,消息也可以很好地用於,將受約束的或更小的設備,和感測器連接到 Web 服務。

    MQTT 通信協議,使所有對象可以互操作。透過此協議實現的發布者和訂閱者模式,可以互連所有設備和事物。該通信層由安裝在霧節點上的代理設備管理。不同的發布者和訂閱者,在不同的節點上實現。安裝了一個 Gateway 設備(霧節點)和兩個嵌入式控制器(邊緣節點),來控製家用電器和電源管理。事物和流程佈署在所有節點上。

    邊緣節點控制子系統,霧節點根據決策樹,以及專家定義的規則,實現 AI 範例。霧設備將數據傳輸到雲端平台,以開發儀表板螢幕,來監看子系統的狀態。

    可以開發新的雲端平台服務:事件檢測、機器學習處理、統計分析等。專家使用者設計基本的控制算法。在學習和訓練過程之後,將根據專家系統的結果,對這些算法進行調整和修改。在這項工作中,目標是在不損失生產力的情況下優化資源(控制和能源)。在邊緣或霧節點中,執行不同的控製過程;分類過程和決策樹在霧節點中實現。算法以 Python 語言實現。此語言的開源庫用於不同的應用。

    4.3. 佈署與測試

    對於現有建築物,邊緣節點交錯插入已安裝的控制器、配電板,以及感測器和執行器中。如果在分析階段指定了新的東西(電錶、氣候和控制器),則會安裝一些新的感測器/執行器。這項工作中佈署的邊緣節點具有以下優點:

    .請勿干擾先前的安裝操作。

    .他們使用新的專家規則和自動規則,引入新控件。

    .他們測試和重新配置,在分析、學習和測試驗證中,設計更新的專家規則。


    圖 7. 佈署在配電盤中的節點。 使用 IoT 協議通信,在不同節點中開發數據捕獲、控制算法、數據分析、儲存和通信服務

    在電力管理過程中,專家使用者根據電力消耗、發電量、消耗負荷曲線、氣候數據和氣候預測數據,對具有選定流程的時間表,進行可程式處理。邊緣節點捕獲數據,並將其發送到霧節點。

    霧節點處理室內和室外環境的日記數據,以及天氣狀況。霧節點還可以捕獲其他感測器數據。對房屋中的這些數據消耗和生成方式,進行檢測和分類。消費和發電結果,作為數據添加,以便與儲存的數據一起進行分析。可以使用機器學習方法開發,作為家用電器或人類活動檢測的智慧服務(圖8)。

    4.3.1. 機器學習:數據捕獲過程(邊緣節點)和家用電器分類(霧節點)

    連接在主配電盤中的電表,用於捕獲數據,並使用標準的 K 近似值,最近鄰(KNN)分類算法,來開發形式辨識模式。 KNN 是機器學習系統中最常見的方法之一。電表捕獲電流;如果連接了新的家用電器,則電流數據會更改。不同的家用電器具有不同的變化等級。

    用於辨識家用電器的不同模式的主要變量,是連接時的電流水準差異。數據捕獲過程流程圖(圖9),顯示了在邊緣節點中實現的算法,以捕獲預處理並傳遞電力數據。

    在此過程中,監督階段使用訓練數據集。接下來,真實場景中的驗證,將測試分類模式。家用分類設備將用於不同的服務:人類活動的辨識、負載控制、可再生能源管理、空調、安全性等。在訓練階段,已捕獲了不同的家用電器開機,以獲得一組形式。每個家庭都有一個矩心向量,將用於分類過程中的檢測。如上面所示的算法所示,分類器處理將產生連接時的電流數據作為輸入。KNN 分類過程流程圖(圖10)描述了 KNN 方法,它在霧節點中實現。

    4.3.2. 可再生電源管理。控制電力自耗的決策樹

    每個建築物都有不同的需求曲線,以及在接入電網方面的特定情況。為此,整合和可互操作的設施,可以實施適用於每種情況的不同解決方案,從而提供對太陽風資源的最佳管理,優化電源效率,簡化管理流程,並實現最高的成本節省。當可再生能源超過消耗的能源時,在使用 AC 耦合到電網的設施中,會出現問題。

    在實驗工作中,太陽能在一天的中央時段的能量,大於所消耗的能量(圖11)。但是,在分析了消耗曲線之後,可以在這段時間內連接負載,以避免注入電網。可以透過設計一種算法,來滿足這一要求,該算法可以預測,何時發生此事件,以自動連接不同的負載。利用所有感測器和執行器的整合,和互操作通信,已經開發了在不同節點中,所實現的算法(圖12)。

    13. 在電源管理子系統上開發的決策樹。 它由專業使用者設計,並整合在邊緣節點上。該決策樹的目的,在優化可再生能源的使用。

    4.3.3. 基於 Edge 和 Fog 節點的 Control Home

    圖 14 顯示了安裝在住宅房間中的邊緣節點。 該節點可以控制四個設備(設備),並捕獲感測器數據(功耗、發電量、溫度、濕度等)。該設備可以使用 MQTT 協議進行通信。該協議允許設備之間,進行其他類型的通信:智慧手機、新邊緣節點等。圖 7 和圖 14 顯示了可以在其他建築物中,佈署的標準實現。在所有系統中,都有配電板,這些配電盤佈署了霧節點和邊緣節點,如圖所示。

    4.3.4. 使用物聯網協議的雲端服務

    雲端服務可以監控,透過霧節點或人機介面(HMI)訪問的數據。 IoT 協議(MQTT)從任何已連接 Internet 的設備推送數據。事件檢測、儲存統計分析等其他服務,完善了該資源的功能。提供類似服務的不同平台,顯示了商用物聯網技術的狀態:Amazon IoT、Microsoft Azure、Ubidots 和 Thingspeak,是提供 IoT 平台的公司一些案例。提供了資源以及客戶端,和 IoT 平台之間的應用程式介面(API)通信,以便可以使用它們。

    用於設計儀表板監控和管制的 HMI 資源,是這些平台上的主要實用功能之一。霧節點使用雲端 API 傳達數據和資訊,可以實施其他控制服務。在這些雲端平台上,預先建構了用於監控數據的儀表板設計。使用 API​​ 實用功能,霧節點中的過程處理,會將數據發送到每個儀表板。API 文件指定了在設備、IoT 平台和 Mobile-Alerts Cloud 之間,交換數據的結構,以及用於加速項目的代碼案例和形成資料庫。

    圖 15 顯示了在 Ubidots 雲平台上,設計的儀表板。Ubidots是本實驗工作中使用的物聯網平台。該模式可以在實現這些協議的層,和平台中使用不同的標準協議。圖 16 顯示了在雲端平台中,IF 變量 THEN 動作的事件配置。大多數物聯網平台,都提供此功能。

    5. 結論

    為了設計物聯網系統,越來越多地提出邊緣霧模式。但是,每個範例都提供特定應用領域的解決方案。不同子系統之間的整合和互操作性,可以改善這種情況,並提供更好的服務。這項工作的主要目的,是透過提出一種基於邊緣層和霧層,兩層體系結構的運算模式,來解決這個問題。透過這兩層,可以基於使用邊緣或霧節點中,嵌入式的設備捕獲數據所產生的新型有用資訊,來設計和開發新服務。這些節點使用雲端平台和 IoT 協議(例如 MQTT)。

    MQTT 是作為不同層(霧 – 邊緣 – 雲)之間提出的通信協議,並進行實驗的。雲端平台用於開發儀表板的面板資訊和 Internet 上的新服務,例如控制、儲存和通信事件。該平台可用於透過 API,交付不同的服務。

    該模式可以在現有建築物和新建築物中,開發這些服務。在這種情況下,要求每個子系統中的專家和專業人員,參與新服務的設計。

    為了測試該模式的功能,並顯示如何在實際設施中,實現該模式,在住宅中進行了一項實驗性工作。在此霧和邊緣節點前後關聯中,描述了實現的幾個範例。開發了模式辨識和決策樹方法,以展示人工智慧在設計 IoT 解決方案中的潛力。已安裝服務的結果顯示,邊緣和霧節點佈署,產生了預期中整合和互操作性的好處。

    提出的工作演示了,如何將邊緣和霧範例,整合到可以增強其優勢的新架構中,從而擴展了應用領域。該體系結構的主要科學貢獻,是整合、技術的互操作性,及其為開發 AI 服務提供的設施的範例。所有這些改進,都在已開發的實驗的不同示例中顯示。具體的優化和改進,將在以後的工作中進行。此外,使用機器學習平台,和 AI 範例的新控制規則,將確保可以創建和改進新的智慧服務。

    附圖:圖1.自動建構子系統和資訊技術環境。
    圖2.基於使用者為中心關係的模式。
    圖3.通信架構。 每個等級都有不同的功能。 提出了兩個通信等級:IoT(使用消息隊列遙測傳輸(MQTT))和 Web(使用代表性狀態傳輸(REST)協議)。這些協議的層,涵蓋了已建立的整合和互操作性要求。
    圖4. 在建築物的現有設施上實施的邊緣霧架構示例:邊緣節點是較低的層次,必須與安裝的設備進行新連接。互連所有子系統的霧節點,是透過整合連接到邊緣節點的新設備來實現的。邊緣和霧節點,可以佈署在所有建築物子系統中。
    圖5. 住宅建築中的第一個實驗工作。
    圖6. 整合在先前安裝的可再生子系統中,邊緣節點的示例。 該節點可以使用新算法控制 ON-OFF 開關,以管理發電過程,以及通信和監控電源數據。
    表1.事物示例描述。寫入 ID、類型和節點數據,以配置 XML 文件。配置關聯性儲存在霧節點中。
    表 2. 實驗工作中的分析和設計要求。
    表 3. 實驗室內使用的嵌入式設備。
    圖 7 顯示了分佈在配電板上的節點(邊緣和霧狀)。在此節點中,設計並安裝了功率計、ON-OFF 開關控件和 AI 服務。
    圖 8. 佈署的智慧電源功能。在霧節點中實施的分類過程,可用於檢測電連接和人類活動。可以使用 IoT 通信實現其他服務
    圖9. 邊緣節點中捕獲,並預處理的用電量數據;MQTT 協議用於通信數據。另外,其他節點可以使用捕獲的數據,來提供其他智慧服務,佈署了整合和互操作性。
    圖10. 分類過程。處理捕獲的電數據以檢測家用電器連接。可以使用 IoT 協議整合,來設計其他智慧服務。
    圖11. 該圖顯示了實驗工作中的消耗和生產數據。 在自儲存的電力自備設施中,沒有儲存並且沒有注入電網,所產生的能量必須即時使用,並且不得超過所消耗的能量。 能源經理必須預測此事件,並提前連接電荷。
    圖 12. 用電自耗設施中的可再生電源管理。
    圖 13 是在電源管理子系統中,開發的算法的示例。 可以在邊緣節點上安裝此過程。該節點獲取氣候數據預測,並預測系統是否可以在不儲存的情況下,使用可再生能源。
    圖14. 佈署的邊緣節點。該節點可以使用新算法,控制 ON-OFF 開關,並可以在每個房間或建築物中,通信和監控感測器數據。
    圖 15. 在雲平台上配置的儀表板。顯示了風力發電數據和預測風力。
    圖 16. 在雲端平台上配置事件的儀表板:IF 事件 THEN 動作。 該服務顯示了,如何使用雲端訪問來控制設施。與霧節點的 Internet 通信,可以控制建築物中的不同子系統,並使用電子郵件,SMS 或其他 Internet 服務來通報事件。

    資料來源:https://3smarket-info.blogspot.com/2021/02/iot-edge.html?m=1&fbclid=IwAR0uijX5WdNrfzmGjVsakFGaEsWivPgyH1zumxVr7fwvvgqtdFFTI6jJXS8

  • 此電腦必須支援安全開機 在 Pazu 薯伯伯 Facebook 的最佳解答

    2019-10-15 08:00:00
    有 158 人按讚

    電腦手機網絡安全(四):有關安全鑰匙 YubiKey,你問我答(頗大篇幅修訂版)+ 香港用戶訂購優惠詳情

    文:薯伯伯

    (超長文,建議先儲存,有需要再找來讀。不想全文讀,只想買 keys,請只看「香港用戶訂購優惠詳情」,第十三條問答及第十四條問答。)

    早幾天寫了一篇文章,提到二步認證的安全鑰匙 YubiKey,無獨有偶,《立場》的另一位博客,《茉莉花開:中東革命與民主路》的作者陳婉容原來早在七月份就聯絡了瑞典的 Yubico 公司,希望取得他們的贊助,在核實身份後,這家瑞典公司寄出了五百條 YubiKey 送給香港人,來自遠方的慷慨之舉,實在令人感動。

    我發覺不少人對於 YubiKey 的功能及用法均有誤解,甚至有人認為「有伏」,或誤以為用上 YubiKey 後反而更危險。我回應了一些評語,整合之後發到自己的臉書專頁,《立場》的編輯看到,問可否轉載到《立場》,所以我又花了一點時間,整理一下文稿。

    後來我跟 YubiKey 的香港代理分銷商聯絡,提到近日大家較為關注網絡保安,他們同意給讀者提供一個折扣優惠,也希望加強普羅大眾對網絡安全的意識。於是,我又再把之前的文章修訂一下,再講解清楚相關的使用細項,希望有興趣的讀者,讀完這篇文章後,可以加強自身的網絡保安防護。

    香港用戶訂購優惠詳情

    先說一下香港分銷商的優惠模式:

    1. YubiKey 的產品,全線八折,目前這個優惠沒有定下限期,但會看看情況再決定何時終止。(這個優惠折扣,其實是我建議的,因為只是想跟官網的教育優惠體齊而已。我希望讀者可以有優惠,但同一時間也不希望分銷商要做蝕本生意。)
    2. 又或者是以原價購買 YubiKey,但會送上 Bitdefender 防護軟件一年的訂閱服務(原價是 HK$ 300 一年)。

    優惠方案之一:

    YubiKey 5Ci:HK$ 440(原價 HK$ 550)
    YubiKey 5 Nano:HK$ 310(原價 HK$ 390)
    YubiKey 5 NFC:HK$ 285(原價 HK$ 355)
    YubiKey 5C:HK$ 310(原價 HK$ 390)
    YubiKey 5C Nano:HK$ 375(原價 HK$ 470)

    優惠方案之二:

    Bitdefender TOTAL SECURITY 2020 的銷售價是 HK$ 300 /年費(可以用五部機),與 YubiKey 合拼購買,會有以下組合優惠:

    YubiKey 5Ci + Bitdefender 一年:HK$ 550
    YubiKey 5 Nano + Bitdefender 一年:HK$ 390
    YubiKey 5 NFC + Bitdefender 一年:HK$ 355
    YubiKey 5C + Bitdefender 一年:HK$ 390
    YubiKey 5C Nano + Bitdefender 一年:HK$ 470

    詳情可以看: https://netmon.zohocommerce.com/categories/yubikey/45023000004418001(注意,不能直接在網站上購買,購買流程在下面有寫。)

    (利申:我的 YubiKey 是自己用原價購買,而各位用以上優惠碼購物時,我是完全不會有任何佣金。)

    購買的流程如下:

    1. 先了解要買哪款型號、數量及價格,然後致電 Yubico 的官方認可香港分銷商 NetMon 查詢有沒有存貨。Coupon code 是 PAZU20。如果有貨,可以直接上觀塘鴻圖道的辦公室購買,以現金交收。

    2. 可以先用 PayPal 或信用卡支付,然後寄到順豐站或「順便智能櫃地址」,運費由買家自行支付,目前順豐的運費有優惠,原價 HK$ 30,在 2019 年 10 月底前只用 HK$ 20。

    Netmon Information Systems
    地址:觀塘鴻圖道 57 號,南洋廣場 15 樓 1 室。
    電話:25272086。
    網址: www.netmon.asia

    至於如何選擇 YubiKey,請看下面的問答:「有很多款 YubiKey,我到底應該選擇哪條?」

    ———

    以下是第二次修訂的〈有關安全鑰匙 YubiKey,你問我答〉,刪去了一些概念重複的問題,又加入了數條問題,還有鳴謝相識於二十多年前的 Ben 深夜通電話,與我分享他的意見。



    問:若果 YubiKey 安全鑰匙被其他人拿到,他們是不是可以直接登入我的戶口?

    答:先說答案,不可以的。我們首先要搞清楚 YubiKey 的用途,它是用來作為登入戶口的其中一個因素,即是說,你要登入戶口,仍然需要帳號本身的密碼,以及 YubiKey,又或是其他因素,例如手機短訊(不建議)、authenticator app 的軟體六位密碼,或是備用的號碼。

    所以即使別人取得你的 YubiKey,也不能單單使用 YubiKey 去登入你的帳戶。「二步認證」時需要你本身的密碼,以及一個額外的認證因素,才能登入戶口。

    如果別人只是取得你的 YubiKey,但又沒有得到你的帳號密碼,那也是沒有辦法登入你的帳號。



    問:我本身已經在手機裡用 authenticator app 去做二步認證,那為甚麼仍然要用 YubiKey 呢?

    答:按保安級別來說,YubiKey 的 FIDO2(在線快速身份識別)比起 authenticator app 的 TOTP(基於時間單次密碼)較為優勝,而 Android 手機的漏洞又較 iPhone 的多。在 iPhone 上好像沒有怎麼出過事,但以前就曾經爆出,Android 機有惡意 app 成功利用保安漏動偷取了 app 二步認證的資料。

    理論上去說,用安全鑰匙來做認證,肯定會較為安全。但很多用家,包括我自己,其實也會在手機上安裝 authenticator app。iPhone 較安全,但即使你用的是 Android,如果手機的廠家較為可信,堵塞保安漏洞的更新較快,你又不 root 機,又沒有胡亂安裝軟件,本身的風險未必算高。

    那麼為甚麼本身已經有用 authenticator app,還要加一個安全鑰匙?我的原因,是因為使用硬件鑰匙,可以加快二步認證的速度及便捷程度,從而把這個二步認證,變成網絡生活的習慣。



    問:我還是不明白,那麼說我豈不是可以直接用手機上的 authenticator app,為電腦登入做認證就可以了嗎?何以要另外花錢,給電腦買一條安全鑰匙?

    答:因為我每天會登出登入戶口數次或以上,所以有必要加快這個過程。先說明一點,網絡保安的兩大關鍵。一是在可行的情況下,開啟二步認證。二是在每次上網之後,都要登出戶口,最好避免儲存電郵或社交媒體的登入狀態。

    最簡單直接的設定,是每次關掉瀏覽器,就會自動刪去所有瀏覽記錄、登入狀態及 cookies,通常是在設定偏好,安全隱私裡可以設置。而我其實即使在自己的電腦上網,也習慣使用「私隱模式」去瀏覽網站。

    當你養成了這個習慣,每天也要登入登出戶口數次。如果你每次看到登入的畫面,都有一種不安的恐懼感,擔心自己不懂如何登入,那麼更加要熟習登出登入的過程,每天登出登入,把登出登入變成生活的習慣,就不會見到 log in 畫面時便忍不住向空氣驚叫或斥罵一聲。如果你已經記不清對上一次是何時登入帳號,那只代表你的戶口經常處於「登入」的狀態,這是保安漏洞,也是很壞的上網習慣,一定要改。

    由於每天登出登入的次數較多,如果能夠安全地加快這個速度,就是值得考慮的方案。我具體去說一下,authenticator app 跟 YubiKey(或其他硬體驗證)在使用習慣上的分別。

    假如你一天要登出登入帳戶五次,如果用的是手機 authenticator app 去做認證,安全程度也算是足夠,但每次都要先找來手機,然後輸入手機的開機密碼,打開 authenticator app,我用的是 Lastpass Authenticator,之後取得六位數字後,複製到剪貼簿,再把六位數字傳送去電腦,或手動輸入,再按確認,這樣才能登入戶口。

    但如果有 YubiKey 或其他硬件認證,過程就相對快速。先輸入帳戶密碼,從鎖匙扣或錢包裡拿出 YubiKey,把 YubiKey 插進電腦,掃一掃上面的金屬圈,便能登入。而我用的 YubiKey,是細小得可以長期插在電腦的 USB C 插頭(一些熟知技術的讀者,知道我的電腦長期插著安全鑰匙,可能會響警號,稍安毋躁,我將會說清楚這個安全隱患)。我每次登入戶口時,先是用手指打完密碼,然後直接伸手在電腦旁邊摸一摸 YubiKey 的金屬環,便能登入。

    所以用 YubiKey 的原因,在我的情況,並不是要把它當成唯一的二步認證因素,而是要加快二步認證的過程。對於不同的用家,這個速度是否重要,很看使用習慣。即使這個速度不重要,單純基於保安考慮,用了安全鑰匙,整個系統的保安級別有所提升。



    問:我應該要有一條還是兩條 YubiKey 呢?

    答:按官方的說法,最好是兩條,因為一條常用,另一條則做後備。但對於大多數用戶來說,其實用一條也是足夠。我會建議大家先買一條,再以其他方式去做後備的密碼重設方案,例如其中一個二步認證的「因素」是 YubiKey,但同一個戶口,要加上 authenticator app 做另一個認證的方案。之後有需要,再買不同型號的安全鑰匙。

    如果你本身打算參加 Google 的高級保護計劃(Advanced Protection Program),你是必須有兩條鑰匙。不過參加了這個計劃之後,使用 Google 的所有服務都會極為不便,我自己也沒有參加。

    簡單來說,對於不打算參加 Google 高級保護計劃的用家來說,只要有後備的認證方案,那麼一條安全鑰匙,也是足夠的。



    問:YubiKey 會否影響我使用 WhatsApp、Telegram 或 Signal?

    答:YubiKey 不支援 WhatsApp、Telegram 或 Signal,所以不會影響你使用這些聊天軟件。



    問:Google 官方推介的那款安全鑰匙,叫 Titan,為甚麼你反而要推介瑞典出品的 YubiKey?

    答:Titan 的製造商是飛天誠信(Feitian Technology),總部設於北京。這家公司獲得不少國家認證及讚許,官方對其安全產品及科技成就予以高度的認可及肯定,目前並沒有證據顯示這家公司的產品有後門或安全漏洞。

    所以,我選擇用瑞典及美國製造的 YubiKey。

    還有,大家可以比較兩者的設計,YubiKey 真係靚仔好多。

    答完這條問題後,發覺 Google 在 2019 年 10 月 15 日(剛好是此文修訂版發佈同一天)推出了一條新的 Titan,這次是跟 Yubico 合作,新的 Titan,設計外觀上跟 YubiKey 5C 大同小異。可能之前 Google 跟 Feitian 的合作,確實引來太多揣測,這次才找瑞典的 Yubico。



    問:如果有人用 YubiKey 插進我的電腦,是否沒有密碼就能直接打開電腦?

    答:這個要看你如何設置,如果你想設置為開啟電腦時,要先輸入密碼,再插入 YubiKey 才能登入電腦,那你應該要使用 pluggable authentication module(PAM,可插拔認證模塊)。相關設定請看 https://support.yubico.com/support/solutions/articles/15000015045-macos-logon-tool-configuration-guide

    如果你使用 PAM 模塊的設定,即使別人取得你的 YubiKey,也不可以打開你的電腦,他是必須有你的 YubiKey,加上你本身開機的密碼,才能登入電腦。

    不過話又說回來,如果是使用電腦,只要設定妥當,其實不用配合 YubiKey 開機,也算安全。因為我是用 Mac 機,也只能用 Mac 機的情況去說一下,如何才算安全。

    1. 你常用的開機戶口的權限只是 standard 而不是 admin。
    2. 你的硬盤本身有開啟加密,即 FileVault。
    3. 你本身 admin 及 standard 的戶口密碼夠強。

    這三點當中,以第三點最為容易被用家忽略,很多人為了貪方便,開機密碼簡單到不能再簡單,有些密碼甚至只有三四個位,極易被破解。尤其開機的密碼,是容許不停地試,即可以使用「蠻力」(brute force)去猜度,所以一定要小心選擇。

    舉個例子,如果你的密碼是 west,破解的時間是 @_$*,兩組密碼,哪個較難破解?前面的那個,是馬上立即就能被破解,而後面這個,用的時間較多,是用一個微秒,也就是一百萬分之一秒而已!

    至於如何選擇強勁密碼,不妨參考骰子密碼法(Diceware),也就是用一粒骰仔,投擲出六位的隨機數字,再用這個數字,透過列表,選擇其對應的字,都是一些字典中可以找到的字詞,如果選擇了七個以上的字詞,這個密碼就很難破解了。有關說明,詳見:https://en.wikipedia.org/wiki/Diceware

    大家也可以去這裡測試一下自己的密碼安全程度,不要輸入真的密碼,差不多就可以,我的密碼,聲稱是要用 919 萬億年才能破解。 https://howsecureismypassword.net/



    問:你認為我可以長期把安全鑰匙插在電腦嗎?

    答:要看使用的場景,以及自己的需要。如果處於高風險環境,把安全鑰匙長期插在電腦中,是不衛生的做法,一些機構甚至明確要求員工不能這樣做,雖然大多員工會對這個建議置若罔聞。

    我的 YubiKey 是用來登入網上的帳號,而不是登入電腦(可以看看上一條問題)。先說我的習慣,我是長期把 YubiKey 插在電腦中,有兩款較細小的型號可以做到這點,分別是 YubiKey 5 Nano 及 YubiKey 5C Nano。

    但我們首先要明白自己想防範的是甚麼,再評估應該要做的安全措施。以我的情況,密碼是極難猜的(按不一定科學的估計,我的密碼可能要 919 萬億年才能破解),而我的密碼又完全不重複,不同網站也會用不同的密碼,所以如果密碼洩露,有三個較大的可能,一是服務供應商的問題,二是電腦被人安裝了惡毒軟件或不乾淨的瀏覽器 add-ons,例如鍵盤記錄器(keylogger)或直接偷取密碼發到遠方,三是上了釣魚網站。至於其他難測的漏洞,很難估計,在這裡就不討論。

    對於第一點,能夠用上二步認證的服務,本身保安做得較好,即使系統受到入侵,估計(估計而已!)密碼的記錄也有加密,所以因為服務供應商的漏洞而洩露密碼的情況很低。至於第二個情況,我本身用的是 Mac,Mac 不是完全沒有病毒或惡毒軟件,所以我儘量不安裝來源不明的東西,有時逼不得已要安裝,也只會在虛擬的環境(virtual machine)中進行。較大的風險可能是瀏覽器的 add-ons 或 extensions,只好儘量找些評分高,信譽好的插件來安裝。

    第三個情況,即釣魚網站(phishing sites) ,通常是假冒的銀行網站。這些網站弄得像是真網站(其實通常還是有些破綻,例如圖片的成像差一些,圖片起角,字體模糊,拼錯英文等等,倒是有點像藍絲的美學風格)。總之打開一些需要登入的網站,都會留意清楚網址,又或是看看有否證書。每次上銀行網站、Google 及 Facebook 等,都一定要加倍小心,因為即使用了二步認證,釣魚網站是可以同時騙取密碼及驗證碼。如果忽然收到電郵,提供連結叫你輸入密碼,更要加倍留意。

    總之評估了自身的使用習慣,最需要防範的風險,是壞人從遠處入侵電腦,並偷取或截取密碼,再入侵我的戶口。所以我只要確保我的認證因素,一個是發到線上的密碼,另一個是線下的因素便可以。即使有人從網絡取得我的密碼,他的手也不能伸到我的手機或安全鑰匙,企圖登入我的戶口,他們要同時取得我的硬件及手機上的二步認證因素,其可能性始終很低。

    另外有些要防範的情況,例如你在公司使用電腦,鄰座的同事相當有可疑,又可以近距離碰到你的電腦,自然就要加倍小心,不要長插鑰匙。你的安全顧慮,也可以因為不同的司法環境,或是本身的敏感程度而改變。若果你是一直備受監控的對象,入侵者有計劃也有資源去取得你的密碼,例如派人偷拍你在咖啡館輸入密碼的情形,入侵者甚至可以取得法庭搜查令,採用不道德的公權力去挾持你的電腦及其安全鑰匙。如果是這樣,你要採取的安全級別,可能要高出其他人很多倍,例如斯諾登要求到訪者把手機的電池取出,又或是要求把 iPhone 等關機後放進雪櫃或 faraday bag。如果你認為他有妄想症,不妨讀一讀《No Place to Hide》(作者 Greenward)又或是《Permanent Record》(作者就是斯諾登本人)。

    說了一大堆,其實就是說,評估過自身的風險後,我使用 YubiKey 的習慣,是經常把它插在電腦上。我不覺得會危害到戶口安全,也不認為會降低安全系數,大家自行評估相關風險。



    問:為甚麼我覺得 YubiKey 有伏?真的安全?這個東西有沒有後門?

    答:可能因為你不了解這個技術,所以覺得有伏。

    說實在的,當我看到這樣的提問,確是頗感驚訝呀,就像看到有人堅拒打疫苗因為擔心會自閉一樣驚訝。



    問:有甚麼服務是支援安全鑰匙的二步認證呢?

    答:對香港人而言,可能有機會用到而又支援安全鑰匙的服務包括:Google (Gmail, Drive, Youtube, Cloud Platform), Facebook, Dropbox, Github, Amazon Web Services, 1Password (版本7以上), Lastpass (Premium), Bitwarden, Dashlane, Boxcryptor (免費版也支援), Twitter 等等。

    至於 Apple ID 戶口則不支持安全鑰匙,但有提供其他方式的二步認證。

    十一

    問:我是用 iPhone,為甚麼我覺得這類產品對 iPhone 的支援,好像很弱很不足呢?

    答:因為這類產品,對 iPhone 的支援,真的很弱很不足啊!即使 YubiKey 出了一款 5Ci 有 lightning 連接頭,但只有極少量的 apps 支援。如果你是用 MacBook 加 iPhone,我建議你只用買 YubiKey 5 (Nano) 或 5C (Nano),而不用為 iPhone 買 5Ci 那款,那個 lightning 接頭很雞肋。

    對於 MacBook + iPhone 的用家來說,最適合的方案,是在 MacBook 用 YubiKey,在 iPhone 還是用 authenticator app。

    如果你只有 iPhone,沒有電腦,那麼很簡單,乾脆不用買安全鑰匙,用 app 去做二步認證就可以。(如果你本身是單機 iPhone 的用家,讀到這裡,才發覺原來我是不建議單機 iPhone 用家使用安全鑰匙,可能會覺得浪費了寶貴的閱讀時間,但希望這篇文章裡其他保安知識,也會對你有幫助啦!)

    十二

    問:萬一我的安全鑰匙遺失了,我是否不能再登入我的戶口呢?

    答:要看你如何設定,但先說答案,不是。如果你遺失了鑰匙,還是可以登入戶口。安全鑰匙只是登入戶口的其中一個認證因素,但你同時可以設定其他方式去認證。

    其他認證的方式包括:

    1. 手機短訊(SMS):因為 SMS 的保安差,不建議。若然真的要用手機短訊,可以用不同居又可信任的朋友手機號碼,而這個電話號碼,最好不是存在手機的電話簿內。

    2. Authenticator app:在 iPhone 及 Android 都有這類 app,我推介的是 Lastpass Authenticator,免費使用,軟件本身可以加上六位數字的密碼鎖。如果你想讓朋友幫你作為後備的方案,建議把設定的二維碼發給朋友,而該朋友又不是朝夕相對,一個 app 裡是可以儲存大量網站的認證碼,而且可以標明服務及戶口名稱,以作識別。

    3. 安全鑰匙:也就是硬件認證方式,其中最多人使用的,是本文裡提到的 YubiKey。

    4. 後備認證碼:部份網站,例如 Google 及 Facebook,會提供八個後備認證碼,可以寫下來,放在安全的地方,但有時貪方便,會儲存在電腦裡(其實不建議這樣做)。

    所以,萬一遺失了安全鑰匙,只要設置合宜,其實也不代表不能用其他認證方式去登入戶口。而在設定了二步認證後,也應該要做一些練習,想像一下,萬一丟失了手機後,你還能用甚麼方式登入呢?如果你的手機、電腦及安全鑰匙全都放在公事包裡,而整個公事包被盜,你還有其他可行的二步認證方式嗎?手機丟失,你不能用 authenticator app。電腦丟失了,而你又貪方便只把後備碼儲存在電腦裡,連電腦也丟失了可以怎麼辦?如果你把不同居的朋友手機號碼作為後備的驗證方案,你能夠單憑手機最後兩個數字,就想起這位朋友嗎?網絡保安,除了要有措施,還有要反複練習。

    另外,如果你使用的是 Google 最高級別的保安計劃(即 Google Advanced Protection Program),那就真的只能用兩條安全鑰匙進行登入。我本身是用 iPhone 及 Mac,因為安全鑰匙對於 iPhone 的支援太弱,所以我也沒有加入這個計劃。

    還有,萬一你喪失了所有認證因素,其實 Google 或是 Gsuite 的管理人,仍然有辦法幫你重設密碼,但 Google 方面的驗證需要很多天,而且過程要問上大量問題,入侵者也不易通過。至於 Gsuite 的管理人,即使他單方面想幫你重設戶口密碼,這個雖然可能會成為另一個安全隱患漏洞,但他們也只能把密碼發到你後備的聯絡方式,而且當中也要有幾重驗證的過程,亦要花上一至數天。只要你那個後備的聯絡方式設定得較安全,入侵者也不能輕易破解。

    十三

    問:有很多款 YubiKey,我到底應該選擇哪條?

    答:有三個考慮因素,一是你用甚麼電腦,二是你用甚麼手機,三是你用甚麼服務。我把幾種可能的情況寫出來,大家參考一下。要先說一點,因為 iPhone 對 YubiKey 或安全鑰匙的支援不好,所以按目前的情況,iPhone 的用家在手機上還是建議用 authenticator app 算了,即使你用的是 NFC 或 lightning 版的安全鑰匙,能夠支援的服務還是太少,可以忽略。選用哪款鑰匙,也要看自己的使用習慣,請參看「每次登入戶口時,都要把安全鑰匙插在電腦,有點麻煩,你認為我可以長期把安全鑰匙插在電腦嗎?」。

    簡單來說,如果你打算長期把安全鑰匙插在電腦,就買 Nano 版,如果經常需要拔插,就買長一點的版本,方便拔插。如果你是用 Android,可以考慮買 NFC 的版本,如果是用 iPhone,因支援較弱,還是用 authenticator app 算了。

    再具體一點去說,我根據以下的電腦及手機組合,建議使用的安全鑰匙型號。

    1. 只有用桌面或手提電腦(USB A接口):用 5 Nano 或 5C(按我的習慣,會用 5C Nano)。
    2. 只有用桌面或手提電腦(USB C接口):用 5C Nano 或 5C(按我的習慣,會用 5C Nano)。
    3. 使用 12 吋的 MacBook(只有一個 USB C 接口的電腦):用 5C 或 5C NFC(就快推出),而不要用 5C Nano,因為只有一個 USB C 接頭,要經常拔插,用 5C 或 5C Nano(暫未推出)會較好。
    4. 電腦 (USB A接口) + iPhone (Lightning接口):用 5 Nano 或 5 NFC(在 iPhone 上不用)。
    5. 電腦 (USB A接口) + Android (USB C接口):用 5 NFC。
    6. 電腦 (USB A接口) + Android (MicroUSB接口):用 5 NFC。
    7. 電腦 (USB C接口) + iPhone (Lightning接口):用 5C Nano 或 5C(在 iPhone 上不用)。
    8. 電腦 (USB C接口) + Android (USB C接口):用 5C NFC(就快推出,暫時未有啊,如果現在用的話,建議可以先買一個 Yubikey 5C Nano,只在電腦上用,手機上則用 app)。
    9. 電腦 (USB C接口) + Android (MicroUSB接口):用 5C NFC(就快推出,暫時未有啊,如果現在用的話,建議可以先買一個 Yubikey 5C Nano,只在電腦上用,手機上則用 app)。
    10. 使用 12 吋的 MacBook(只有一個 USB C 接口的電腦)+ iPhone(Lightning接口):用 5C 或 5C NFC(暫時未出),不建議用 5C Nano。
    11. MacBook Air(有兩個USB C接口):因為兩個 USB C 接口都在機身左邊,如果不會長期用 hub,那麼用 5C Nano 也可以。如果這個插口本身又要連 iPhone 或其他設備,那麼用 5C 會較好。
    12. 以上任何配搭,但用的百度雲、淘寶、QQ 郵箱等:不用買。

    至於 Security Key by Yubico 這一款,則可以用在電腦 (USB A接口) 上,沒有 NFC 功能,屬較為基礎的一款。之前 YubiKey 慷慨送給香港人的型號,就是這個。對於自己有能力購買的用家,請按上文所述的建議,對應自己的機型去購買。

    另外,如果打算用轉換頭(例如 USB A 轉 USB C),請看看相關兼容情況:https://support.yubico.com/support/solutions/articles/15000006473-using-a-yubikey-with-usb-c-adapters (因為沒辦法逐一去試,萬一打開 YubiKey 的包裝後,發覺本身使用的 hub 或轉換器兼容不了,那就得物無所用,所以我不是太過建議用轉換頭。如果真的想用轉換頭,最好找朋友的安全鑰匙插進自己的電腦,再去 https://www.yubico.com/genuine/ 測試能否認出。

    十四

    問:可以在哪裡購買 YubiKey?

    答:上官網 Yubico.com,在香港則去官方認可的香港分銷商。

    購買這類安全產品,跟買安全套一樣,理論上是要避免使用中介渠道或集運公司,因為理論上越多中間人,那麼理論上就越大機會被人做手腳。

    其中一種做手腳的方式,是企圖入侵的人,把鑰匙裡的物理序列號偷偷記錄,並用其他方式去產生密鑰。強調是「理論上」,因為估計實行起來,也非容易,太多顧慮,聽起來好像又太多疑,但既然說到網絡安全,當然要在各個可行的層面,也儘量做好防範的措施。例如萬一你的鑰匙被人偷走,非法扣留,又或是買回來的時候包裝已經打開,最好不要再用。

    Yubico 的官方網站顯示,在香港有一個官方認可以的分銷商:Netmon Information Systems,地址是:觀塘鴻圖道 57 號,南洋廣場 15 樓 1 室。電話是 25272086。網址是 www.netmon.asia ,建議在辦公時間先打電話去查詢存貨量。

    ———

    延伸閱讀:

    陳婉容幫助香港人取得瑞典公司 Yubico 的贊助:https://www.facebook.com/sherrychanyy/photos/a.517784544922353/2803649153002536/?type=3&permPage=1

    電腦手機網絡安全(一):SIM 卡鎖:https://www.facebook.com/pazukong/photos/a.2007886759444126/2634928633406599/

    電腦手機網絡安全(二):簡介二步認證:https://www.facebook.com/pazukong/photos/a.2007886759444126/2636315873267875/

    電腦手機網絡安全(三):二步認證的驗證因素:https://www.facebook.com/pazukong/photos/a.2007886759444126/2637695243129938/

    ———

    * 想追看薯伯伯的文章,請設定本 Page 為「搶先看 / See First」*

    Instagram 🥑🥭🍉🍌: pazu

    新博客:http://pazu.com/blog

    另外還要提一提大家:

    【新書速報】Pazu 薯伯伯《不正常旅行研究所》(白卷出版社)——從西藏拉薩到神州大地;由亞洲各國至中東地區。非常人般玩轉奇異世界、紀錄精彩故事文化習俗。

    在旺角序言、北角森記、誠品書店及各大書店,均有代售!其中在旺角序言及北角森記,有少量簽名版本。

  • 此電腦必須支援安全開機 在 Pazu 薯伯伯 Facebook 的最讚貼文

    2019-10-10 17:50:45
    有 179 人按讚

    電腦手機網絡安全(四):有關安全鑰匙 YubiKey,你問我答

    文:薯伯伯

    早幾天寫了一篇文章,提到二步認證的安全鑰匙 YubiKey,無獨有偶,《立場》的另一位博客,《茉莉花開:中東革命與民主路》的作者陳婉容原來早在七月份就聯絡了瑞典的 Yubico 公司,希望他們可以贊助香港抗爭者五百條 YubiKey,在核實身份後,這家瑞典公司慷慨地向寄出了五百條 YubiKey,實在令人感動。

    我發覺不少人對於 YubiKey 的功能及用法均有誤解,甚至有人認為「有伏」,或誤以為用上 YubiKey 後反而更危險。我回應了一些評語,整合之後發到自己的臉書專頁,《立場》的編輯看到,問可否轉載到《立場》,所以我又花了一點時間,再次整理一下文稿,就成了這篇文章。以下的問題,部份是在陳婉容的臉書帖文評語區選取,我把部份的用字修改。



    問:若果硬體及 YubiKey 都被其他人拿到,怎辦?

    答:即使其他人取得你的 YubiKey,也不能單單使用 YubiKey 便登入你的帳戶。「二步認證」是需要你本身的密碼,以及一個額外的認證因素,才能登入戶口。所以如果別人只是取得你的 YubiKey,但又沒有得到你的帳號密碼,那也是沒有辦法登入你的帳號。



    問:我本身已經用 Authenticator app 去做二步認證,而不是用手機短訊,那為甚麼仍然要用 YubiKey 呢?

    答:用 authenticator app 去做認證,本身已經算是較為安全,但相比起 YubiKey 或其他硬件認證,使用 app 較為花時間,也可能因此較難歸入日常網絡安全生活的一部份。

    先說明一下,我強烈建議每次上網之後,都要登出 Facebook 及 Gmail 的戶口,不要長期處於登入的狀態,儘可能避免使用 Facebook app 或 Gmail app,最好是用瀏覽器登錄,並設定瀏覽器關閉的時候,會自動把 cookies 刪除。又或者乾脆使用「隱私模式」,不留痕迹。要把登出及登入,變成上網的常態,要反複練習。

    如果你一天要登錄帳戶五次,假如用的是 app 去做認證,安全是安全,但每次都要先找來手機,輸入手機密碼,打開 authenticator app,可能也要再輸入一次 app 密碼,取得六位數字後,再把六位數字傳去電腦,或手動輸入,再按確認,這樣才能登入戶口。

    但如果有 YubiKey 或其他硬件認證,過程就相對快速。先輸入帳戶密碼,把 YubiKey 插進電腦,便能登入(注意是密碼加硬件,單靠 YubiKey 是不能登入)。如果你所處的環境是較安全,例如數小時裡都在家中,那隻 YubiKey 可以一直插在電腦,雖然不算完美,但尚能接受。

    用上二步認證,是極為關鍵的保安措施,但很多人是因為二步認證的過程繁瑣,所以棄用或懶得去用,從而嚴重危害到戶口安全。YubiKey 的作用,是加速了二步認證的速度,但又不會降低安全系數。



    問:我應該要有一條還是兩條 YubiKey 呢?

    答:按官方的說法,最好是兩條,因為一條常用,一條做後備。但對於大多數用戶來說,其實用一條也是足夠。我會建議大家先買一條,再以其他方式去做後備的密碼重設方案,例如 YubiKey 加上 authenticator app,或記下後備的認證碼(通常有八組,可以交給朋友代為保管)。不過後備的密碼重設方案,不應該用自己的手機號碼。

    至於是否需要用兩條,如果你本身打算參加 Google 的高級保護計劃(Advanced Protection Program),你是必須有兩條鑰匙。不過參加了這個計劃之後,使用服務時是極為不便,尤其如果你是用 iPhone 就更為麻煩。(即使是講到明支援 iOS Lightning 接頭的 YubiKey 5Ci,還是不支持 Google 的高級保護計劃認證。)

    方便與安全,往往是對立,要取得一個平衡點。我覺得二步認證的安全系數已經足夠,除了特殊的人群,大多數人也沒有必要參加高級保護計劃。而對於不打算參加高級保護計劃的用家來說,一條鑰匙,也是足夠的了。



    問:YubiKey 會否影響我使用 WhatsApp、Telegram 或 Signal?

    答:YubiKey 不支援 WhatsApp、Telegram 或 Signal,所以不會影響你使用這些聊天軟件。

    YubiKey 支援的服務,常用的包括 Google 戶口、Facebook、Dropbox 等,還有很多,這裡不一一列出。



    問:Google 官方推介的那款安全鑰匙,叫 Titan,為甚麼你反而要推介瑞典出品的 YubiKey?

    答:Titan 的製造商是飛天誠信(Feitian Technology),總部設於北京。這家公司獲得不少國家認證及讚許,並對其安全產品及科技成就作出高度的認可及肯定,目前並沒有證據顯示這家公司的產品有後門或安全漏洞。

    所以,我選擇用瑞典及美國製造的 YubiKey。還有,大家可以比較兩者的設計,YubiKey 真係靚仔好多。



    問:如果有人用 YubiKey 插進我的電腦,是否沒有密碼就能直接打開電腦?

    答:這個要看你如何設置,如果你想設置為開啟電腦時,要先輸入密碼,再插入 YubiKey 才能登入電腦,那你應該要使用 pluggable authentication module(PAM,可插拔認證模塊)。相關設定請看 https://support.yubico.com/support/solutions/articles/15000015045-macos-logon-tool-configuration-guide

    如果你是用 PAM 模塊的設定,即使別人取得你的 YubiKey,也不可以打開你的電腦,他是必須有你的 YubiKey,加上你的密碼,才能登入電腦。

    不過話又說回來,如果是使用電腦,只要設定妥當,其實不用 YubiKey 開機,也算安全。因為我是用 Mac 機,也只能用 Mac 機的情況去說一下,如何才算安全。

    1. 你常用的開機戶口的權限只是 standard 而不是 admin。
    2. 你的硬盤本身有開啟加密,即 FileVault。
    3. 你本身 admin 及 standard 的戶口密碼夠強。

    這三點當中,以第三點最為容易被用家忽略,很多人為了貪方便,開機密碼簡單到不能再簡單,很易被破解,尤其開機的密碼,是容許不停試,即可以使用「蠻力」(brute force)去猜度,所以一定要小心選擇。至於如何選擇強勁密碼,不妨參考骰子密碼法(Diceware),詳見:https://en.wikipedia.org/wiki/Diceware

    大家也可以去這裡測試一下自己的密碼安全程度,不要輸入真的密碼,差不多就可以,我的密碼,聲稱是要用 919 萬億年才能破解。 https://howsecureismypassword.net/



    問:我本身用密碼管理器,密碼是極為複雜,這樣不是已經很安全了嗎?為甚麼還要用 YubiKey?

    答:即使是再安全的密碼,如果你的密碼管理器被破解,又或是被人安裝了鍵盤記錄器(keylogger),再複雜的密碼也沒有用,入侵者照樣可以輕易登入你的帳號。所以一定要有二步認證,而為了加快二步認證的過程,並把這個過程變成生活一部份,用硬件認證,是較好的方式。

    當然,如果你真的覺得 authenticator app 已經足夠,其實也不一定要付費買安全鑰匙。只是,我兩者皆用過,我覺得鑰匙方便很多。



    問:為甚麼我覺得有伏?真的安全??這個東西有沒有後門?

    答:可能因為你不了解個技術,所以覺得有伏。



    問:我是用 iPhone,為甚麼我覺得這類產品對 iPhone 的支援,好像很弱很不足呢?

    答:因為這類產品,對 iPhone 的支援,真的很弱很不足啊!即使 YubiKey 出了一款 5Ci 有 lightning 連接頭,但只有極少量的 apps 支援。如果你是用 MacBook 加 iPhone,我建議你只用買 YubiKey 5 (Nano) 或 5C (Nano),而不用為 iPhone 買 5Ci 那款,那個 lightning 接頭很雞肋。

    對於 MacBook + iPhone 的用家來說,最適合的方案,是在 MacBook 用 YubiKey,在 iPhone 還是用 authenticator app。



    問:可以在哪裡購買 YubiKey?

    答:上官網 Yubico.com,或是去官方認可的香港分銷商。

    購買這類安全產品,跟買安全套一樣,理論上是要避免使用中介渠道或集運公司,因為理論上越多中間人,那麼理論上就越大機會被人做手腳。

    其中一種做手腳的方式,是企圖入侵的人,把金鑰裡的物理序列號偷偷記錄,並之後用其他方式去產生密鑰。強調是「理論上」,因為估計實行起來,也非容易,太多顧慮,聽起來好像又太多疑,但既然說到網絡安全,當然要在各個可行的層面,也儘量做好防範的措施。例如萬一你的鑰匙被人偷走,非法扣留,又或是買回來的時候包裝已經打開,就最好不用。

    Yubico 的官方網站顯示,在香港有一個官方認可以的分銷商:Netmon Information Systems,地址是:觀塘鴻圖道 57 號,南洋廣場 15 樓 1 室。電話是 25272086。網址是 www.netmon.asia ,建議在辦公時間先打電話去查詢存貨量。

    ———

    延伸閱讀:

    《Yubico 贊助香港抗爭者世上最強網上保安鎖匙Yubikey》(文:陳婉容):https://www.facebook.com/sherrychanyy/photos/a.517784544922353/2803649153002536/?type=3&permPage=1

    電腦手機網絡安全(一):SIM 卡鎖:https://www.facebook.com/pazukong/photos/a.2007886759444126/2634928633406599/

    電腦手機網絡安全(二):簡介二步認證:https://www.facebook.com/pazukong/photos/a.2007886759444126/2636315873267875/

    電腦手機網絡安全(三):二步認證的驗證因素:https://www.facebook.com/pazukong/photos/a.2007886759444126/2637695243129938/

    ———

    * 想追看薯伯伯的文章,請設定本 Page 為「搶先看 / See First」*

    Instagram 🥑🥭🍉🍌: pazu

    新博客:http://pazu.com/blog

    另外還要提一提大家:

    【新書速報】Pazu 薯伯伯《不正常旅行研究所》(白卷出版社)——從西藏拉薩到神州大地;由亞洲各國至中東地區。非常人般玩轉奇異世界、紀錄精彩故事文化習俗。

    在旺角序言、北角森記、誠品書店及各大書店,均有代售!其中在旺角序言及北角森記,有少量簽名版本。

你可能也想看看

搜尋相關網站