詳情：www.nmplus.hk/765839
【#科技控】Whatsapp又迫人硬食！
#新Monday #Whatsapp #Web #NM_odin

零基資安訓練營（十二）：在 Signal 上用太空卡與否，這是個問題

文：薯伯伯

坊間終於出現大規模的遷移潮，從 WhatsApp 轉到更為安全的 Signal，我會就 Signal 的使用情況，再寫一些文章補充。

問：到底在 Signal 上應否使用「太空卡」？

（注：太空卡通常是指較短期使用的電話號碼卡，只在特定場合才開啟，有時甚至只用一天或數小時。不過坊間對「太空卡」的定義很廣闊。我在這裡提到的「太空卡」，是指短期使用的電話號碼。）

答：如果嫌長篇大論，請只看第四點及第五點。

我認為使用一個 *長期的電話號碼* 去登記 Signal，會較為恰當，亦是我目前的做法。如果你的 WhatsApp 是一個長期使用的電話號碼，不坊考慮用同一個號碼開啟 Signal。長遠而言，再考慮逐漸轉移至新的長期電話號碼。

我的理由如下（開放討論）：

一，我使用 Signal 的場景及情況，其實大致上跟 WhatsApp 相若，所以對方是已經知道我的電話號碼。我在 Signal 上使用相同的電話號碼，也只會用來聯絡我原先已在 WhatsApp 上認識的人。

二，如果我不想對方知道我的電話號碼，我會使用 Telegram 或 Line，而根本不會以 WhatsApp 聯繫。同樣道理，如果我不想對方知道我的電話號碼，我根本就不會用 Signal 聯絡。

三，在 Facebook 興起了改名改頭像潮，你有時有試過打開一個朋友的頁面，完全認不出對方是誰。如果這種情況發生在 Signal 上，例如全部人使用了太空卡，每個人都用了新號碼，便要重新確認對方身份。也許對於個人而言，保障較大，但也喪失了其聯絡的用途。從廣泛採納（mass adoption）的層面而言，未必是好事。

四，如果用短期的太空卡號碼登記 Signal，在停用該 SIM 卡約半年後，該號碼會流出市面。萬一有其他人購買並使用該號碼上 Signal，有可能會令你的朋友誤會了該人是你。雖然 Signal 會提醒「安全碼」（safety number）已經改變，但大多數人會完全忽略警告。若打算用 Signal 作為長期聯絡的工具，建議用一個較為長期使用的電話號碼。現階段不妨使用原來的電話號碼（不論該號碼有沒有用身份證登記過），長遠而言不妨考慮使用一個新的預付電話卡或虛擬電話號碼作登記。

五，如果要更換電話號碼，請跟足以下的步驟。

在你的舊設備上：

1. 首先通知所有組員，你將離開群組。如果已經有新號碼，就先把新號碼加入，然後離開所有群組。

2. 通知其他知道舊號碼的人，你要更改號碼，並提醒他們要從電話簿裡刪除舊有電話號碼。如果已經有新號碼，亦把資料通知對方。

3. 報銷 Signal號碼，請到該網址：https://signal.org/signal/unregister/

4. 刪去 Signal app，再重新安裝，確保舊有的記錄全部清除。

5. 如果有使用桌面版，重新連結手機與桌面版的 Signal。

若在特殊時期，曾經把自己的太空卡加進小組內，最衛生的做法，是把只作短暫使用的太空卡電話號碼按（五）（1）項的建議離開小組。儘量不要經常把任何短暫使用的太空卡號碼長期存放在群組內。

***
兩句簡單撮要：本身已經公開在 WhatsApp 的電話號碼，在遷移階段，不妨先用同一號碼登記 Signal。長遠而言或按自身情況，考慮使用預付卡或虛擬電話號碼登記另一個 Signal 戶口。
***

說起來，香港人應變力強，不願造慣性的奴隸，WhatsApp 本來在香港一直佔主導市場（估計目前仍是），但在 2020 年 6 月底，看著不少香港在兩天之內，大規模遷移至更安全的 Signal，出人意表，老懷安慰！

在新時代的陰霾之下，恐懼在所難免，但在演化的過程中，恐懼正是進化動力之源，但願我們好好珍惜恐懼的機會，一起做出改變。

圖：朋友發來的截圖，他的 Signal 上一天之內新增了起碼十多位朋友。

⏺ 零基資安訓練營系列文章：http://pazu.com/go/bootcamp

▶️ Patreon: www.patreon.com/pazu

零基資安訓練營（七）：使用二步認證

文：薯伯伯

其中一個最重要，最有效，最必須，但又經常被人忽略的保安方法，是二步認證。例如蕭若元 YouTube 的 2.6 萬條影片被刪，到底是否政治打壓，現在不敢妄下判斷，我還是較為傾向於相信是黑客入侵。（YouTube 「黃標事件」看來應該是政治打壓，但全頻刪片卻保留戶口，又似乎不是 Google 慣用的手法。）

如果能預先做好二步認證，黑客要入侵戶口，難度就高出很多。因為這很重要，所以大家聽我講，不論政見如何，不論是否覺得自己會成為入侵目標，但今天起碼要完成以下其中一個 2FA 保護，之後陸續加強不同服務的 2FA。

所謂「二步認證」，英文叫 two-factor authentication，簡稱 2FA，是指登入戶口時，除了原有的登入認證，還要有其他認證的「因素」，例如額外再加一個密碼、手機短訊驗證，動態密碼（例如 Google Authenticator）、Yubikey 硬件鑰匙等等。

萬一有人偷看到你輸入密碼，例如在電腦裡安裝了 keylogger，記錄鍵盤動作，又或是從遠遠拉長望遠鏡去偷看你打字（哎，你以為你是誰？有人肯定這樣問。）豈料你是一個漂亮又謹慎的人，一早就開通了 2FA，那麼對方即使非法取得你的密碼，但還要輸入另一個動態密碼才能登入，你的戶口安全無損。在這篇文章裡，還是先以手機短訊的方式，談一下二步認證的具體操作。

以下設置 2FA 的方法，通常就是用一個六位密碼（不是太好，但總好過沒有），authenticator

WhatsApp 的二步認證：

當你在新手機上安裝 WhatsApp 後，一般的登入方法，是插入 SIM 卡，收到一個短訊，裡面有個六位認證碼，輸入就能登錄 WhatsApp。這個方法過於簡單，很大風險，所以要二步認證。

啟用二步認證後，除了要輸入短訊內的六位認證碼，還要再輸入一個自訂密碼，設置方法如下：

打開 WhatsApp - （右下方）設定 - 帳號 - 雙步驟驗證 - 自己選擇一個六位數字的 PIN，不要用生日日期。考慮輸入一個後備的電郵地址，萬一忘記了 PIN，可以重設戶口。（但如果你百分之百肯定不會忘記 PIN，就不要額外設定復原的電郵地址，因為越多重設的渠道，也就代表越多保安的漏洞。）

Signal 通訊軟件的二步認證：

點擊自己的頭像，選擇「隱私權」- 設置 Signal PIN 碼，啟用 PIN 碼提醒及註冊鎖。

Google 戶口的二步認證：

1. 打開 https://myaccount.google.com/
2. 選擇保安或安全（Security），如果用桌面版，在左邊。如果用手機版，則在 Google Account 字樣下方的菜單，要用手指向左掃一掃才能看見。
3. 開啟二步認證。
4. 輸入戶口密碼。
5. 選擇下載 Google Authenticator 動態密碼生成器，跟著畫面指示掃 QR 碼，輸入認證，便能確定完成。

Facebook 的二步認證：

1. 打開 https://www.facebook.com/settings 。
2. 在左邊選擇保安及登入。
3. 選擇「二步認證」，輸入戶口密碼。
4. 之後選擇下載 Google Authenticator 動態密碼生成器，跟著畫面指示掃 QR 碼，輸入認證，便能確定完成。

Apple ID 的二步認證：

在 iPhone 打開設定 - 點選「你的名字」 - 密碼與保安，再按畫面上的指示去開啟雙重認證。

Patreon 用戶的二步認證：

近來不少創作人都開通了 Patreon 平台（包括我），謹記要加強相關保安，先進入 https://www.patreon.com/settings/profile ，在 Security 下選擇 Add via SMS 或 Add via TOTP authenticator app（即例如 Google Authenticator 之類）。

多了一層 2FA，會否影響日常工作的效率或速度呢？我的主要戶口，是每次關閉瀏覽器都會自動登出，所以我每天都要輸入數次密碼及 2FA 認證，早已是上網生活的一部份。你知道每天都做足 2FA 防護措施，經過一年半載後，會有甚麼效果嗎？就是現在當我使用一些服務，居然是不支援 2FA，我反而會覺得周身不自在，甚至會拒絕使用該服務（如果有其他選項）。

另外，有些服務，至今仍然只支援安全級別較低的手機 SMS 認證，萬一手機 SIM 卡被騎劫了，那這層保障就如同虛設。所以，如果有其他認證因素，就應避免使用 SMS 做驗證。如果真的沒有選擇，必須用 SMS 做驗證，那麼就必須加強 SMS 的保安級別。至於如何去做，因為涉及過多細節，我們找天有時間再好好談談。

照片：Hacker Noon via Unsplash

*———*

請訂閱 Patreon 頻道，支持不受干預的獨立分析及評論。

http://patreon.com/pazu