零基資安訓練營（二十七）：人與電腦之互動，應成系統的核心組件

文：薯伯伯

有一句說話，在資訊保安界別裡面算是老生常談，那句說話是：「保安系統裡最大的漏洞是用家本身。」這句話的意思，是說即使保安如何森嚴，只要有人類存在，就總會犯錯誤。

其實想深一層，這句話可以是對，也可以是錯，更可能反映了系統設計者與使用者之間缺少了應有的互動。其中較近期的例子，是在 2020 年美國花旗銀行的職員誤把化妝品公司原定向債權人支付的 800 萬美元貸款利息，錯誤輸入為還款 9 億美元，導致嚴重虧損（詳情請看 https://hk.appledaily.com/international/20210217/SYSVBALFJZB2JP5M3FHHRHAKNU/）。

聽起來好像是職員的問題，應驗了「保安系統裡最大的漏洞是用家本身」，但在設計系統時，如果程式員、管理層與用家多作協調，就可能預測到用戶有機會錯誤把還款金額與利息金額混淆，在設計程式之時，已經能自動避免類似錯誤。如果把一切的錯誤都怪罪於使用者，雖然也是事實，但卻忽略了人類與電腦之間的互動（HCI，Human Computer Interaction）。

我警惕自己在撰文推廣資訊保安時，也應避免踩入類似的誤區。有讀者跟我說，太多保安措施，反而無從入手，又或會有「防賊疲勞」。原則上保安的措施應該要方便易用，成為讀者日常生活的一部份，級別越高越好，但如果用家根本無法適應，是否可以按使用者個人的適應能力，再作相應調整？

我的資訊保安文章，雖然想儘量做到「零基礎」，但有時也會把一些基礎知識當作「人所皆知」的常識，部份讀者未必能跟隨。反而想提及兩個小例子，算是示範了因應不同人的情況，而給出更符合當事人使用習慣的保安方式。

一，長者的手機密碼

話說有次遇到一位長者，手機完全不設開機密碼，說是因為擔心記不住，用 Touch ID 又不方便（指模不清），手機又沒有 Face ID。我之前寫過一篇文章，提及密碼要有 11 個位或以上才算較為安全，但現在面對的，是一位連開機密碼都嫌多的長者。

長者說自己的手機「沒有任何秘密」，但我問長者，如果有壞人檢到手機，打開他的 WhatsApp，發訊息給他朋友騙財匯款買點數卡之類，他的朋友會否上當。長者猶豫了，最後決定使用密碼。

但這組密碼，只有四個位，而且是舊居電話的最後四位數字。這個保安級別當然不足，但以他的情況，最大的風險只是別人檢到手機，而不是面對以色列貴價軟件的入侵，那麼這個措施，總比完全不設防好。如此的保安方法不佳，但也算是與用戶互動及商量之後，採取一個較為折衷的方法。

二，電郵的二步認證

有一位朋友，本身對電腦不熟悉，電子郵箱的密碼寫在紙版的筆記本上，密碼簡單到我過目不忘。我一看到他的情況，第一時間就想叫他更改所有密碼，以後使用密碼管理器去記錄。

但問題是，他目前無法適應，有可能連最簡單的登入都做不了。如果一味只顧提升保安級別，卻連登入都做不到，那是矯枉過正。

所以最後我給他的建議，是先啟用二步認證，但他的手機不適合使用 Authenticator，且多年以來沒有固定的手機號碼，連 SMS 認證都做不到。最後我給他選定的方案，是使用固網電話，每次登入帳號，Google 均會自動打電話去指定的固網電話，以廣東話或普通話說出六個數字，輸入後便可登錄。這個方法當然有其他隱憂，我自己就絕對不會使用這些方法，但以該名用家的情況來說，起碼可以防止較為低端的遠程攻擊，總比只有一層密碼（而且是過目不忘的密碼）來得安全。

結論：

以上兩個例子，不是說我認同那些保安措施，但按用家的能力或其他條件，選取更為合適的保安措施。而非一味追求更高的保安級別。

設計資安措施時，切忌把用家當成是必然的潛在漏洞，處處要求用家接受高度培訓。更應在設計資訊安全的方案時，把用家的執行速度、效率、學習能力、記憶能力及使用取向等納入其中，才不致於本末倒置。

照片：Unsplash / Cameron Armstrong

🔑 【資訊保安文章整理，超務實長清單】 https://www.patreon.com/posts/46192115

▶️ 請訂閱 Patreon 頻道，支持不受干預的獨立創作及評論 | www.patreon.com/pazu

電腦手機網絡安全（一）：SIM 卡鎖

文：薯伯伯

有一個很基本的手機安全防禦措施，設定容易，但卻有很多人會把之忽略，就是要為 SIM 卡上鎖。SIM 卡出廠的時候，本身是有一個四位數字的 PIN 密碼，以及通常會預設不上鎖，所以也就特別容易被人忽略。先說一下，如果沒有上鎖，會帶來甚麼風險，在文章末段，則會介紹上鎖的方法，心急的朋友，可以先跳去分隔線下面看。

假如你的手機 SIM 卡沒有上鎖，萬一有人檢獲你的手機，即使你的手機本身有密碼，但匪徒只需要把 SIM 卡取出，就能接收訊息。若然你主要的通訊軟件或社交媒體帳號，都是綁定了該手機號碼，而你又從來沒有設置過雙重認證，匪徒就能輕易而舉，用你的手機接收一個六位數字的驗證短訊，並登入你的 WhatsApp。更甚者也可以重設社交媒體或電郵帳號的登入密碼，冒充你的名字發送訊息（最理想是避免一個手機號碼就能重設帳戶號碼，但有機會另文再談）。

當然，如果你的朋友夠謹慎，他們看到你的密鑰改變，也許會起疑心，但估計很多人不會太過在意。另外萬一你一拼遺失的物件，不只手機，還有信用卡，若用信用卡網上購物，往往也有短訊驗證，但對於沒上鎖的 SIM 卡，匪幫只要換另一部手機，也可以輕易收到驗證短訊。

當別人掌握了你的手機卡，其實可以從多方面去冒認你的身份。如果只是冒認朋友去騙取增值卡，最多只是破財。但萬一這些下流的匪幫所做的不只謀財，或根本不是謀財，而是害命，若然 SIM 卡沒有上鎖，他們是很容易用一些短訊的認證，去登入你的戶口，喬裝成你的身份，去發佈一些更新，從而製造看似未死的證據。這個說法是否太荒謬呢？也許是吧，但這個世界早已荒謬得毫不熟悉。

總之，一定要把 SIM 卡上鎖。這個肯定不是一勞永逸的方法，還有太多有關手機保安的注意細則，但這個安全措施簡單卻又易被忽略，所以先介紹一下。

——— 我是分隔線 ———

首先要做的，是確保手機的短訊沒有預覽功能。由於我是用 iPhone，所以只用 iPhone 做介紹，但 Android 應該也大同小異。

一，關閉短訊預覽功能。

先要防止在鎖機的情況下，在鎖機畫面顯示短訊的內容。即是必須打開「訊息」的 app，才能看到訊息內容。

方法：設定 - 通知 - 訊息 - 在「顯示預覽」一欄，選擇「永不」。

二，更改 SIM PIN 密碼。

（警告，如果輸入 SIM PIN 三次都錯誤，SIM 卡就會鎖死，要用另一個八位數的 PUK 密碼才能重設，也有可能要去電訊公司換新卡，換卡費通常是 50 元港幣左右。你明白這個鎖卡的風險嗎？如果明白，可以讀下去。如果不明白，那麼就不要試。）

方法：設定 - 流動網絡 - SIM PIN - 選擇開啟 SIM PIN。

輸入預設的 SIM PIN。

注意，不少電訊供應商，均預設為 1234 或 8888 或 0000 或 1111。但考慮到輸錯三次密碼會鎖卡，而重置卡密碼要花時間或花金錢，所以如果你在第一次輸入 PIN 時，先在 1234 或 8888 或 0000 或 1111 當中選一組，最多只試一次或兩次，如果不對，就不要再嘗試，直接打給電訊公司查詢。

以下資料，只供參考。預設 PIN：

自由鳥：1234
1010：0000
CSL：0000
Sun Mobile：0000
中國移動：8888
3香港：8888
數碼通香港：1234
澳門CTM：1111

之後選擇「更改 PIN」。

輸入新的四至八位的數字，當然不要用生日日期。

以後你的 SIM 卡拔出後再插回同一部或另一部手機，又或是手機重啟，都需要輸入四位數字的 SIM PIN，若然連續三次輸錯，手機卡便會被鎖定，並要到營運商才能重設密碼或甚至補卡。

因為這種密碼不算常用，而且只有三次輸入的機會，所以建議在安全的地方寫下這個四至八位號碼。又或是初設之後，記得每晚記得要把手機關機，開機時熟習一下輸入 SIM 密碼的過程。

———

我發覺身邊不少朋友，往往不太在意電腦或手機的安全設定，是想認真地寫一些文章，探討相關問題，但因為設置上相對瑣碎，也就用較為隨意的方式去寫，想到甚麼，就寫甚麼。

如果你覺得這篇文章對身邊的朋友有幫助，請分享，好人一生平安！

延伸閱讀：

電腦手機網絡安全（一）：SIM 卡鎖：https://www.facebook.com/pazukong/photos/a.2007886759444126/2634928633406599/
電腦手機網絡安全（二）：簡介二步認證：https://www.facebook.com/pazukong/photos/a.2007886759444126/2636315873267875/
電腦手機網絡安全（三）：二步認證的驗證因素：https://www.facebook.com/pazukong/photos/a.2007886759444126/2637695243129938/

———

照片：在伊朗的電訊公司開 SIM 卡，職員很友善，但過程頗為繁複，攝於 2014 年 3 月 7 日。

———

* 想追看薯伯伯的文章，請設定本 Page 為「搶先看 / See First」*

Instagram 🥑🥭🍉🍌: pazu

新博客：http://pazu.com/blog

另外還要提一提大家：

【新書速報】Pazu 薯伯伯《不正常旅行研究所》（白卷出版社）——從西藏拉薩到神州大地；由亞洲各國至中東地區。非常人般玩轉奇異世界、紀錄精彩故事文化習俗。

在旺角序言、北角森記、誠品書店及各大書店，均有代售！其中在旺角序言及北角森記，有少量簽名版本。

【HK01】Windows密碼毋須密密改？微軟新安全基準取消擾民政策

Windows通常約三個月（90日）便要求用家更改登入系統的密碼、加強資料保安，此項政策卻經常阻礙不少趕着用電腦開工的人士，造成不少難題。相信大家都領教過以下煩事：被要求更過密碼時急就章改了一個新密碼應付，卻沒有寫低；即使只是微調原有密碼（大部份人做法），卻偏偏忘得一乾二淨，下次開機便無法登入，費時又失事！如今這種無理的「安全措施」即將走入歷史。

PC用家，最慘莫過於被Windows定期強行要求更改登入密碼，事後卻不記得新密碼，活活把自己鎖在電腦外。Microsoft微軟公布Windows 10 1903版本（又稱「19H1」）和Windows Server 1903版本的安全基準設定草案（Security baseline draft），當中要留意是會取消定期變更密碼的密碼過期政策。

Microsoft移除Windows需要定期更改密碼的密碼過期政策，全因他們承認此項安全做法「過時、效益極低」。微軟表示，密碼安全問題由來已久，用家選擇密碼時，往往設計出容易輸入和猜測的簡單密碼（方便自己）。當系統要求或強迫​用家想出一組難記的複雜密碼，他們通常會寫低，他人見到便有機會見到。而系統要求變更密碼時，用家也傾向做出很小且可以預測的變更，又或者忘記新密碼（這萬年麻煩看來微軟工程師自己都領教過，算是「官方吐糟」吧）。​

微軟終於了解到一個道理、一個正常PC使用者的習性，就是如果Password被外人知道了，自己一定不會「坐以待竊」。定期變更密碼好處是當密碼或相關的雜湊（Hashes）被偷時，能偵測或阻止未經授權的存取行為，但如果密碼不會被盜，就無必要設定有效限期。一旦得知密碼被盜，正常人都會立即採取行動更改密碼，不會等人存取或依賴密碼的有效期限來保障安全。

好簡單比喻。即使你知道你的信用卡即將於下個月到期，要是那張卡遺失了，是被扒手打荷包又好、在街上跌咗都好，正常人最理智的做法都是即刻致電發卡機構或銀行「Cut卡」，而不會祈求扒手或拾遺者在到期前不會「亂碌」。微軟認為再無必要在安全基準要求中保留密碼過期政策，企業可選擇最適合自己的安全措施。但密碼長度限制、防止重覆使用等做法，微軟不建議移除，也反對企業用家降低密碼複雜性。

諸種額外防護措施，如實施禁用密碼清單、多因素驗證、引入密碼猜測攻擊或異常登錄的偵測技術等，微軟都建議企業採取。只是上述做法不會加入到Windows群組政策（Group Policy）的建議安全基準。微軟在草案中也表明考慮取消強制Default關閉管理員（Administrator）和訪客（Guest）帳號的安排，亦不會Default開啟。管理員可視情況，手動啟用兩種帳戶。

#科技

｜5G WiFi 6 路由器｜Netgear M5評測 對應5G Sim卡隨身router 村屋下載都過240Mbps
"Netgear新推出的M5隨身路由器可以插sim卡放Wi-Fi，用法類似「Wi-Fi蛋」，特別之處是對應5G sim卡和Wi-Fi 6新技術，在村屋等網速欠佳的地方，更可以直接當家用router上網。到底用5G代替家用寬頻可不可行？5G蛋在各區的速度可以有幾快？我們先到西貢井欄街村家訪，再到各區試用，試盡這台Netgear M5 5G隨身路由器。
設計簡潔　家用、商用、出街用都得
先說用法，M5的設計簡潔，打開機背蓋，拿出電池，插入Sim卡再開機就可以使用。 輕觸式屏幕可以做各種設定，可用來更改SSID和密碼，在手提電話、電腦、遊戲機等裝置上直接選擇SSID和輸入密碼就連接到。機身上有一個USB-C充電位，在家中使用也可拿走電池，用usb-c連上附送的插頭能直接插電運作。也提供一個lan線位插頭線連接裝置，提供更穩定的網絡。
網速方面，支援5G網絡，也對下支援高達4.5G LTE-Advanced CAT 20。用上Wi-Fi 6制式，支擾2.4GHz、5GHz 頻率，下載速度分別可達600Mbps和1200Mbps。可支援多達32款裝置同時連接，市面上同類產品只能連接16款裝置。比起一般「Wi-Fi蛋」，M5設計也適合在家中、甚至商用環境使用。"

影片:
【我是南丫島人】23歲仔獲cafe免費借位擺一人咖啡檔 $6,000租住350呎村屋：愛這裏互助關係 (果籽 Apple Daily) (https://youtu.be/XSugNPyaXFQ)
【香港蠔 足本版】流浮山白蠔收成要等三年半 天然生曬肥美金蠔日產僅50斤 即撈即食中環名人坊蜜餞金蠔 西貢六福酥炸生蠔 (果籽 Apple Daily) (https://youtu.be/Fw653R1aQ6s)
【這夜給惡人基一封信】大佬茅躉華日夜思念 回憶從8歲開始：兄弟有今生沒來世 (壹週刊 Next) (https://youtu.be/t06qjQbRIpY)
【太子餃子店】新移民唔怕蝕底自薦包餃子 粗重功夫一腳踢 老闆刮目相看邀開店：呢個女人唔係女人(飲食男女 Apple Daily) https://youtu.be/7CUTg7LXQ4M)
【娛樂人物】情願市民留家唔好出街聚餐 鄧一君兩麵舖執笠蝕200萬 (蘋果日報 Apple Daily) (https://youtu.be/e3agbTOdfoY)

果籽 ：http://as.appledaily.com
籽想旅行：http://travelseed.hk
健康蘋台： http://applehealth.com.hk
動物蘋台： http://applepetform.com

#5G #Wifi路由器 #Router #村屋 #Sim卡
#果籽 #StayHome #WithMe #跟我一樣 #宅在家

1.先準備選單腳本, 事後再改都可以
2.進入 xpe環境, c磁碟機 的 menu.lst 記事本開啟
3. Win 10 64位元
4.可設定每次開機都還原
5. 註解 #
6.還原密碼可自行修改
7.更改選單時間 timeout 5 改為 timeout 2 ,就會更快進入系統
8.改為密碼和時間後,存檔為new_menu.lst 儲存至隨身碟的5a88 根目錄
那麼就以他為優先

5a88快速建置電腦系統
授課講師:林士立
上課地點:109/1/21 育林國中
1.單機佈署 及快速還原
2.電腦教室派送