線上開會怕私隱外洩？一文學識多個網絡安全對策 – Yan Law

早在新冠肺炎疫情爆發初期，為降低病毒在社區內傳播的風險，不少負責任的企業鼓勵或允許員工Home Office，沒想到竟然令網上會議軟件Zoom突然爆紅，用戶數量由去年12月的一千萬激增至今年3月的兩億！偏偏這時Zoom被連環爆出私隱外洩、駭客入侵、保安漏洞等醜聞，引起公眾關注網絡安全問題，隨後美國、英國、德國、加拿大、台灣、新加坡等地的政商界亦以「資安漏洞」為由宣布停用使用此軟件，促使更多人聞Zoom色變。

在眾多網上會議軟件中，Zoom因為操作容易、功能多樣而大受歡迎（只要透過邀請網址或查詢會議ID的方式即可以電腦、手機或平板來進行視訊會議，還能錄下視訊過程、共享螢幕畫面、進行即時文字對話等）；現在卻因資安設計不良而被棄？上周三（4月8日）Zoom創辦人兼行政總裁袁征舉行YouTube直播，親自就私隱漏洞問題向用戶公開致歉、承諾將全力修正問題，並介紹軟件的私隱更新。究竟Zoom還安全與否？如果平日有需要用Zoom或其他視像會議軟件，又該如何保護自己？

編者想，絕大多數人擔心的是「Zoom-Bombing」騷擾現象，皆因駭客能夠透過會議ID自動產生器來破解Zoom會議 ID（甚至取得沒有密碼保護的Zoom連結），在不驚動主持人的情況下滲入會議，然後惡意發放色情、暴力或令人反感的影音和圖片；甚至可以透過這種方式竊取 Zoom 用戶的 Windows登入密碼，從而注入程式來存取裝置上的攝影機與麥克風。雖然香港暫時未有發生「暗網洩露Zoom帳號資料事件」，但早前宣道國際學校就有Zoom課堂遭駭客入侵，實在令人憂心。據悉，校方回覆查詢時稱「畫面短暫播了一些令人反感的內容」，已向警方報案，並決定即時將網上教學暫停兩天，為防止同類型事件再次發生。

在一連串的資安問題爆出後，Zoom馬上推出緊急更新版本，表示已修補漏洞並強化安全性與隱密性，更新內容包括：

1. 預先啟用會議密碼設定，並新增了防止用隨機掃描會議ID 的方法來加入會議的措施。
2. 用戶可為會議設置「等候室」，任何人想加入會議，都必須通過會議主持人的允許才可加入。
3. 不在會議視窗的狀況列上顯示（原本會直接出現的）用戶ID。
4. 加入「保安」按鈕，主持人可在所有人加入會議後鎖住會議，不讓其他人再加入；參與會議者中途無法隨意改名，聯絡人的資料也不會再自動顯示。

5. 在Zoom解除安裝程序中，加入完全移除本地主機網頁伺服器的選項，還會連帶一併刪除使用者儲存的設定。

至於有不少人提出的伺服器問題，Zoom為此新增了一項新功能：付費用戶可自行選擇服務連接的伺服器，務求可加強用戶在資料傳送路徑的選擇上的控制權。據了解，目前Zoom的資料中心以群分為以下區域：美國、加拿大、歐洲、印度、澳州、中國大陸、拉丁美洲、日本／香港。要留意的是，當用戶選擇不使用特定區域的資料中心時，該區域之Zoom會議室連接器（CRC）亦將不允許連接到個人會議或網路研討會，同時電話撥入功能亦無法使用。

有些謹慎為上的用戶，或許早已因信任感大打折扣而轉用其他通訊軟件，例如 Google Hangouts Meet、Skype、Microsoft Teams、CyberLink U Metting、Cisco WebEx 等。但如果是慣常或因工作／學習需要而必須使用Zoom呢？用戶最基本可以先做好以下幾點：

1. 使用最新版本的 Zoom 軟件和保安軟件
2. 提防任何不明的 UNC 連結
3. 切勿在會議期間分享機密資訊
4. 使用有意義的顯示名稱，別使用網上暱稱
5. 小心保護你的 Zoom 帳戶及留心可疑的帳戶活動

詳細保安貼士和主持會議者的安全建議，可以參考香港電腦保安事故協調中心（HKCERT）的建議 。
其實，不只Zoom，不同的通訊工具或會議軟件都有機會出現資料保安漏洞，想盡可能保障自己，可以做好以下4點：
1. 使用正版軟件：使用由軟件開發商提供的程式來更新軟件；安裝並開啟防火牆和入侵檢測系統；更新電腦病毒和間諜軟件的定義檔，以及定期使用防病毒軟件來掃描電腦。
2. 加強電子郵件和密碼保安：設置嚴謹的密碼（最好包含大小寫英文、數字及符號），並最少每90天定期更改；不要使用容易受到黑客攻擊的電腦登入電子郵件帳戶、電子銀行服務或進行涉及敏感資料的操作。
3. 加強電腦系統保安：避免瀏覽任何可疑網站、開啓可疑的電郵及即時短訊；不要下載來源或性質不明的附件；將涉及個人資料的電腦檔案加密處理。
4. 避免使用公共無線網絡服務：日常將無線網絡功能關閉；如有必要使用公共無線網絡時，不要發送敏感／個人資料，過後亦應刪除網絡首選列表的相關記錄；確保無線網絡卡驅動程式為最新版本。

身處互聯網時代，每個人在互聯網上的一舉一動，都會留下「數碼足印」，建構成「大數據」。所以，無論有沒有發生這次「Zoom事件」，我們都必須要認清一個事實：維持網絡安全、保護個人資料是「修不完的功課」。

原文：經濟通

#科技 #生活 #商業 #社會

#行銷必看
自從Google短連結無法使用之後，我就開始用利害短網址來縮短網址，利害短網址不只是一般的短網址產生器，短連結產生後，不但可以在後台追蹤點閱數，還可以分流做AB測試，後端連結也可以隨時增刪、替換，不會影響前段連結，就算Line@、簡訊、EDM已經發出去了，還可以更改連結內容，非常好用!因此成為行銷人現在最常用的短連結產生器!
https://sisicooking.blogspot.com/2019/11/ab.html

電腦手機網絡安全（三）：二步認證的驗證因素

文：薯伯伯

之前提到要為 SIM 卡上鎖及二步認證，兩個方法是最為基礎的網絡保安措施，實行起來也相對簡單，所以先行在前面兩篇文章介紹了。但要強調，即使鎖上了 SIM 卡及用了二步認證，還是有風險，其中脆弱的環節，是 SIM 卡的安全問題。例如在 2018 年，美國著名網站 Reddit 一批員工的戶口被盜，入侵者是在沒有取得受害者手機的情況下，騎劫了 SIM 卡。

所謂「SIM 卡騎劫」，方法很多，例如冒充卡主打電話去電訊公司，申請更換 SIM 卡，又或者要求電訊公司解鎖電話卡。而大部份電訊公司對用戶的認證，既要顧及客人觀感，又要顧及私隱保安，確是兩難。我有一位做客戶服務的朋友說，卡主登記人是女性，但如果有人用男人的老牛聲打上台，只要對方說自己是女人，他們也不能質疑，否則可能成為公關災難。

就算不用打上台冒充卡主，還有不同的方式去攔截 SMS，上網搜查 SMS interception，即能搜到一大堆示範片段及方法。所以，使用二步認證雖然較為安全，但若然用了較不可靠的驗證因素，便會削弱二步認證的保護力量。

那麼，我們應該如何選擇二步認證的驗證因素呢？常見的驗證因素（factor），包括了以下三類：

一，手機短訊
二，軟件認證
三，硬件認證

軟件認證，就是在手機下載一個專門的動態密碼產生器，即 authenticator，每分鐘也會顯示一組六位數字的驗證碼。操作的情況是，不論在手機或電腦登錄二步認證的網站，先輸入戶口本身的密碼，再在手機上打開動態密碼產生器，取得六位驗證碼，再輸入到網站，才能登入。

動態密碼的手機軟件，最常用的是 Google Authenticator，但這個軟件本身沒有上鎖功能，萬一別人取得你手機的開機密碼，就能進入，感覺還是不太可靠。我推介另一款，叫 Lastpass Authenticator，可設置六位的開啟密碼，Lastpass 本身也是另一家非常有名氣的密碼保安公司，使用起來更覺安心。

具體的設置方式如下，只以 Google 戶口做例子：

先在手機下載 Lastpass Authenticator，地址在： https://lastpass.com/auth/ 免費的（如果要備份，需另外付費，但其實不備份也可以）。

之後用手機或桌面電腦的瀏覽器：

1. 登錄 https://myaccount.google.com/security 並輸入密碼。
2. 選擇「兩步驗證」。
3. 重新輸入 Google 的戶口密碼。
4. 選擇「Authenticator 應用程式」
5. 選擇 Android 或 iPhone，按下一步，出現二維條碼。
6. 在手機上打開 Lastpass Authenticator 的 app，按右下方「＋」號，選擇 Scan Barcode，再掃一掃上一步驟顯示的二維條碼。
7. 用手機掃完二維碼之後，在瀏覽器中的二維碼畫面，按「下一頁」。
8. 在瀏覽器中輸入 Lastpass Authenticator 顯示的六位數字驗證碼，再按「驗證」。
9. 完成。

（以上步驟，其實按著電腦或手機上畫面的指引去做，可能更為容易。）

其他戶口，例如 Facebook、Dropbox 等，也可以類似的方式註冊，但 Apple ID 不支援這個硬件鑰匙的驗證方式。

* * *

之前介紹了手機短訊，以及軟件認證，那麼還有一個方式，即硬件認證。所謂硬件認證，即「安全金鑰」，就是一隻 USB 手指（也有 NFC 無線介面）。操作的情況是，當你用電腦上的瀏覽器登錄戶口時，輸入戶口密碼後，要插入「安全金鑰」，再用手指摸一摸上面的金屬圈，這樣才能登錄網站。

其中最廣為人知的「安全金鑰」，是 Yubico 的出品，官方網站是：https://www.yubico.com/

網站上有多種產品，眼花瞭亂，選擇上，第一個應該考慮的，是你的桌面電腦用 USB-A 還是 USB-C 的接口。至於無線 NFC 或 iPhone 的 Lightning 插頭（尤其 Lightning 插頭，支援實在太少），有點雞肋，可有可無。

如果你用的是 MacBook/PC 及 iPhone，我較為推介的款式，是：

YubiKey 5 Nano（HK$ 390）
YubiKey 5C Nano（HK$ 470）
YubiKey 5C（HK$ 390）

至於 YubiKey 5Ci（HK$ 550），雖然多了一個 Lightning 插頭，但目前支援的軟件太少，有點雞肋。至於 Android 用戶，因為不太肯定實際的支援情況，在此就不詳述了，有經驗的讀者，請在評論區裡分享一下看法。

另外，要留意不是所有瀏覽器也支援使用 YubiKey，支援的瀏覽器包括 Firefox, Chrome, Opera，但是 Safari 則不支援。如果你本身是習慣用 Safari，即使不是因為 YubiKey，其實基於保安及私隱考慮，也建議儘早改用 Firefox。

* * *

購買這類安全產品，跟買安全套一樣，理論上是要避免使用中介渠道或集運公司，因為理論上越多中間人，那麼理論上就越大機會被人做手腳。其中一種做手腳的方式，是企圖入侵的人，把金鑰裡的物理序列號偷偷記錄，並之後用其他方式去產生密鑰。強調是「理論上」，因為估計實行起來，也非容易，太多顧慮，聽起來好像又太多疑，但既然說到網絡安全，當然要在各個可行的層面，也儘量做好防範的措施。例如萬一你的鑰匙被人偷走，非法扣留，又或是買回來的時候包裝已經打開，就最好不用。

在 Yubico 的官方網站，查看各地的代理名單，在香港有一個官方認可以的代理，是：Netmon Information Systems，地址是：觀塘鴻圖道 57 號，南洋廣場 15 樓 1 室。電話是 25272086。網址是 www.netmon.asia ，建議在辦公時間先打電話去查詢存貨量。

* * *

另外，不少人喜歡把手機號碼作為二步認證的其中一個驗證因素，這個用起來雖然方便，但如果你本身已經有軟件認證的 Authenticator 應用程式，又或是硬件認證的安全金鑰，不妨考慮把手機認證這個因素移除，又或是加上可靠朋友的手機號碼做認證。在 Google 的戶口，也可以考慮把 Google Prompt 關掉，至於備用驗證碼，也建議寫在安全的地方，例如告訴可靠的朋友，沒必要放在家裡或身上。

登入戶口當然麻煩了，但謹記一點，如果你總是不用做任何登入步驟，就能自動進入戶口，代表的不只是方便，還有漏洞。

———

照片：幾部老爺智能手機，是 Treo 系列，分別是 650 及 680，都算是我用過的手機裡，最讓人懷念，但又完全不想再重用的智能手機，攝於 2010 年 5 月。

———

* 想追看薯伯伯的文章，請設定本 Page 為「搶先看 / See First」*

Instagram 🥑🥭🍉🍌: pazu

新博客：http://pazu.com/blog

另外還要提一提大家：

【新書速報】Pazu 薯伯伯《不正常旅行研究所》（白卷出版社）——從西藏拉薩到神州大地；由亞洲各國至中東地區。非常人般玩轉奇異世界、紀錄精彩故事文化習俗。

在旺角序言、北角森記、誠品書店及各大書店，均有代售！其中在旺角序言及北角森記，有少量簽名版本。