【Microsoft】平日我們登入不同網上服務時，有一些輸入了登入名稱後，再經密碼驗證就能登入，包括微軟帳戶。在很多網上服務都設立雙重認證系統，密碼及驗證碼並行，微軟則決定反其道而行，索性容許用家無需密碼就能登入帳戶。

https://pc3mag.com/microsoft-account-can-no-pw-login/
#microsoft #Microsoft Authenticator #Microsoft帳戶 #Windows Hello

————————————————————
記得Follow埋小編哋PC3嘅帳號哦
MeWe:https://bit.ly/3mvanuO
Facebook:https://bit.ly/39zmTG8
Instgram:https://bit.ly/3gZz7b2
Youtube:https://bit.ly/37mQDdG10
————————————————————
設定小編哋PC3專頁「搶先看」！優先取得科技生活著數玩樂情報
設定教學：https://bit.ly/335Fwwp

Zoom為何從科網新寵，變成深陷資安醜聞的眾矢之的？- 方展策

在新冠肺炎疫情下，遠距工作與網上教學已成為上班族與學生們的日常作息常態，因而令視像會議軟件的需求大增，其中以Zoom最受歡迎，其用戶人數在疫情期間暴増20倍，達至2億之數！但隨著大量用戶湧入，Zoom卻接連被爆出存有資訊安全漏洞，不但遭多國政府部門和大型企業棄用，更要面對多宗法律訴訟，彷彿一下子從天堂跌落到地獄。到底該公司出了甚麼問題呢？

其實，市面上不乏視像會議軟件，當中更有科技巨擘的出品如Google Meet、Microsoft Teams等，為甚麼爆紅的是Zoom呢？只因Zoom使用起來真的非常方便。會議主持人只需向參與者發送一個簡單的連結，點一下連結即可進入會議；又或者發給參與者一組會議ID編號，輸入後就可參與會議。

如此便利的操作方式，自然吸引了一大群因疫情而初次接觸視像會議的人嘗試採用；加上Zoom把免費版本只限40分鐘內10人與會的規定放寬到100人，如是學校用戶的話，更不設40分鐘限制，結果令Zoom火速爆紅起來。除網上授課外，還有人透過Zoom舉行生日會、音樂會、宗教聚會，甚至葬禮等。

不過，便利操作背後卻隱藏了資安問題。Zoom的會議連結或ID很容易被黑客截取，進而闖入會議騷擾與會者，造成一連串「Zoom轟炸（Zoombombing）」事件。較早前，新加坡一群女學生透過Zoom上地理課時，畫面突然顯示猥褻圖像，並有一名奇怪男子叫女同學展示私人部位，致使新加坡教育部一度叫停Zoom教學。

更嚴重的是，Zoom自3月下旬起屢被揭發存有不同的保安漏洞，爆發用戶私隱洩漏危機。3月26日，科技網站Motherboard爆料指，iOS版Zoom軟件在用戶不知情下，將其個人資料傳送給Facebook。

3月31日，網絡安全公司VMRay的研究人員指出，Mac版Zoom軟件在不需用戶作最後確認的情況下，便會自行將軟件安裝到Mac機，做法近似惡意程式。另一網名為「Objective-See」的資安研究人員亦發現，Mac版Zoom軟件竟可偷偷存取Mac機的視像鏡頭和收音咪。新聞網站The Intercept更揭露，Zoom宣稱軟件提供的端對端加密技術，原來僅應用在文字通訊上，視像和聲音通訊反而沒有。

加拿大多倫多大學網絡研究機構「公民實驗室（Citizen Lab）」於4月3日發表的研究報告，更對Zoom帶來沉重打擊。Citizen Lab指出，Zoom宣稱軟件採用AES-256加密算法，但測試後發現只是用上規格低一級的AES-128加密金鑰，同時更是在安全性較差的ECB電子密碼本模式下執行。該實驗室又發現，即使Zoom用戶身處北美地區，加密金鑰有機會經由中國的伺服器產生與傳送。因此，Citizen Lab建議，如會議內容涉及高度機密資料，不宜使用Zoom。

面對各方指摘，Zoom創辦人暨執行長袁征也心知不妙，多次親自出面撲火。4月1日，他在官方網誌上親自道歉，承諾在90天內暫停開發新功能，將所有資源調撥至修補資安漏洞。Citizen Lab報告發表後，袁征又即日在網誌上解釋，為應付近期暴增的用戶量，匆忙中「錯誤地」將2個位於中國的數據中心加入到備用伺服器名單，以致出現美國服務連線至中國伺服器的情況，現已修復問題。

儘管袁征積極表現出坦承錯誤的態度，惟對Zoom的不信任已在全球各處遍地開花。美國太空總署、英國國防部、澳洲國防部、德國外交部、台灣政府機構均嚴禁部門人員使用Zoom。私人企業方面，Google母公司Alphabet禁止員工在公司電腦使用Zoom；電動車廠商Tesla與航太科技公司SpaceX也不准員工再用Zoom；更有消息指，渣打銀行以網絡安全為由，已要求員工停用Zoom。

有見及此，Zoom遂宣布成立資訊安全長會議及顧問委員會，找來Netflix、Uber等多家公司的資訊安全長擔任成員，又招攬Facebook前資訊安全長史塔莫斯（Alex Stamos）出任外部資安顧問，以挽回用戶信心。

可是，令用戶難以繼續信任Zoom的狀況，卻又持續發生。以色列網絡安全公司Sixgill發現，有黑客於4月1日在暗網（dark web）討論區貼出352個Zoom帳戶的名單。另一家網絡安全公司Cyble亦追蹤到一名黑客，自4月起在黑客論壇張貼Zoom帳戶資料，包含佛羅里達大學、佛蒙特大學等290間院校的用戶電郵地址與密碼。Cyble更發現，有逾53萬個Zoom帳戶資料在論壇上開賣，於是嘗試買下所有資料，最終以每個帳戶0.002美元（約0.016港元）的價格成功購入，當中竟然有摩根大通、花旗銀行等金融機構的用戶資料。

除此以外，Zoom還要被多宗官司纏身。美國加州已有首宗基於《消費者私隱法案》，控告Zoom對用戶私隱保護不周的訴訟。另外，Pomerantz律師事務所宣布代表Zoom股東向該公司及部分高層提出集體訴訟，認為Zoom誇大產品的私隱保護標準，隱瞞軟件本身設計漏洞，結果被傳媒揭發後公司股價大跌，故此要求賠償。

Zoom的成功之處在於軟件操作簡單便利，有效簡化繁複的視像會議作業流程，但也因為過於專注便利性，以致忽略了產品安全性。袁征也承認，安全性與便利性之間可能存有矛盾，更坦言：「或許是時候重新審視這一點了。」這究竟會是「亡羊補牢，未為晚也」，還是「覆水難收，無以為繼」呢？Zoom往後如何走下去，還有待觀望。

原文：經濟通

#科技 #社會 #商業 #生活

【HK01】Windows密碼毋須密密改？微軟新安全基準取消擾民政策

Windows通常約三個月（90日）便要求用家更改登入系統的密碼、加強資料保安，此項政策卻經常阻礙不少趕着用電腦開工的人士，造成不少難題。相信大家都領教過以下煩事：被要求更過密碼時急就章改了一個新密碼應付，卻沒有寫低；即使只是微調原有密碼（大部份人做法），卻偏偏忘得一乾二淨，下次開機便無法登入，費時又失事！如今這種無理的「安全措施」即將走入歷史。

PC用家，最慘莫過於被Windows定期強行要求更改登入密碼，事後卻不記得新密碼，活活把自己鎖在電腦外。Microsoft微軟公布Windows 10 1903版本（又稱「19H1」）和Windows Server 1903版本的安全基準設定草案（Security baseline draft），當中要留意是會取消定期變更密碼的密碼過期政策。

Microsoft移除Windows需要定期更改密碼的密碼過期政策，全因他們承認此項安全做法「過時、效益極低」。微軟表示，密碼安全問題由來已久，用家選擇密碼時，往往設計出容易輸入和猜測的簡單密碼（方便自己）。當系統要求或強迫​用家想出一組難記的複雜密碼，他們通常會寫低，他人見到便有機會見到。而系統要求變更密碼時，用家也傾向做出很小且可以預測的變更，又或者忘記新密碼（這萬年麻煩看來微軟工程師自己都領教過，算是「官方吐糟」吧）。​

微軟終於了解到一個道理、一個正常PC使用者的習性，就是如果Password被外人知道了，自己一定不會「坐以待竊」。定期變更密碼好處是當密碼或相關的雜湊（Hashes）被偷時，能偵測或阻止未經授權的存取行為，但如果密碼不會被盜，就無必要設定有效限期。一旦得知密碼被盜，正常人都會立即採取行動更改密碼，不會等人存取或依賴密碼的有效期限來保障安全。

好簡單比喻。即使你知道你的信用卡即將於下個月到期，要是那張卡遺失了，是被扒手打荷包又好、在街上跌咗都好，正常人最理智的做法都是即刻致電發卡機構或銀行「Cut卡」，而不會祈求扒手或拾遺者在到期前不會「亂碌」。微軟認為再無必要在安全基準要求中保留密碼過期政策，企業可選擇最適合自己的安全措施。但密碼長度限制、防止重覆使用等做法，微軟不建議移除，也反對企業用家降低密碼複雜性。

諸種額外防護措施，如實施禁用密碼清單、多因素驗證、引入密碼猜測攻擊或異常登錄的偵測技術等，微軟都建議企業採取。只是上述做法不會加入到Windows群組政策（Group Policy）的建議安全基準。微軟在草案中也表明考慮取消強制Default關閉管理員（Administrator）和訪客（Guest）帳號的安排，亦不會Default開啟。管理員可視情況，手動啟用兩種帳戶。

#科技