密碼已經過時了
過去，您可以信任帳號密碼登入，因為存取權是由實體周邊定義
但隨著 IT 環境的複雜化，身分識別已經成為企業資安的弱點
密碼的缺點很明顯：難記住、容易破解
#無密碼 的優點則讓人眼睛一亮：更安全、更方便、容易大規模管理👍
　　
微軟長期投入研發無密碼解決方案，取得豐碩的成果，包括：
✅Windows Hello 企業版：生物辨識登入，並用 MFA 取代密碼
✅Microsoft Authenticator：用行動裝置或生物特徵進行驗證
✅FIDO2 安全性金鑰：透過行動裝置的標準型協定，用 MFA 取代密碼
✅Microsoft Edge：從瀏覽器進行驗證，支援廣泛的無密碼驗證器
　　
立即進入無密碼的世界👇
https://aka.ms/MSTW_010402

WiFi漏洞有得救

上星期有比利時研究員發表報告指出，我們用了多年的WiFi加密技術WPA2其實有多個漏洞。該研究員試驗了一種概念攻擊的技術，稱為KRACK（Key Reinstallation Attacks），可以在WPA2的4次握手（Handshake）過程中，重新安裝加密金鑰，直接破解WPA2，黑客便能在WiFi傳送檔案過程當中，攔截未有加密的任何檔案。

用戶宜即時更新軟件

跟WannaCry事件一樣，雖然大家都知道有這樣的保安風險，但目前可以做的不多。不過幸運的是，今次的WiFi漏洞是由研究員發現，所以他一早已經通知了各大廠商，Microsoft第一時間推出了更新檔修補漏洞（包括Windows 7、Windows 8.1、Windows 10、Windows Server 2008、Windows Server 2012及Windows Server 2016）。Apple及Google亦已知悉該WiFi保安缺陷，並承諾盡快推出修補檔案。

至於一般Android手機，可能要根據相關廠商推出修補檔案的時間，用戶才知道是否能夠更新及修補該漏洞。WiFi路由器廠商方面，將陸續推出更新檔案。

在未有修補檔案之前，一般用戶是否無法自救？首先，今次的攻擊是一個模擬示範，而且黑客需要在你的WiFi路由器範圍內才可作出截擊，所以各位暫時毋須過分恐慌。在這段時間，敏感的檔案及資料可加密後才傳送，而且你亦可以利用4G、有線網絡（LAN）或者啟動VPN上網以減低風險。

大家用https網站進入網上銀行及瀏覽其他加密網站，以及利用一些已經有加密的通訊軟件（例如WhatsApp、LINE），理論上是不會遇上KRACK截擊的。

最後，大家記得在手機及電腦推出更新檔之後第一時間安裝，以防萬一。

方保僑_香港互動市務商會會長

#GnuPG #破解RSA1024金鑰

研究人員在GnuPG加密庫破解RSA-1024密鑰

由多所大學組成的8人研究團隊近期發表論文揭露，他們在加密軟體GnuPG使用的Libgcrypt加密庫內，發現了一個漏洞（CVE-2017-7526）允許攻擊者利用「滑入災難（Sliding right into disaster）」攻擊方式破解RSA-1024加密方式，成功取得RSA密鑰來解密。研究員解釋，Libgcrypt加密庫利用一種稱為「滑動窗口（sliding windows）」的方法來加密資料，研究員發現這種加密方式存在一項漏洞，洩漏了部分的加密數值，攻擊者能夠利用這些數值，還原密鑰的原始數值。目前，GnuPG已經釋出了Libgcrypt 1.7.8版本，修復了這項漏洞。

完整研究論文：https://eprint.iacr.org/2017/627.pdf