2015年6月23日星期二

LastPass 也險告失守 密碼保安時代快將終結?

LastPass 也險告失守 密碼保安時代快將終結?


如果這星期有留意 Unwire.pro 報導,應記得密碼管理服務 LastPass 遭到黑客攻擊而力保不失的新聞。事實上有關密碼外洩的新聞從未少過,這是否代表用密碼做保安措施的方式已經失效?其實坊間一直有研究新科技取代密碼,也有研究想改善現行密碼保安方式的不足,今次就專題探討一下密碼保安的未來。

蠢密碼、懶密碼非常普遍

文字密碼已是使用多年的保安登入方式,基本上只要是現代都市人都一定有使用密碼系統的經驗。密碼本質既要不讓他人知悉,但又同時需要易於記憶以方便使用者,兩者之間本就有衝突,若果服務供應者保安要求不夠嚴謹(嗯,我說的是換飛行哩數那些),又或是系統限制只能使用數字(電話熱線),允許使用者使用簡單易記的密碼的話,就往往衍生更多的保安問題。
大多數人都是惰性的,結果就出現不少用戶名稱就是密碼、短至四個字元的密碼,又或是密碼是 Password 這八個字母的情況,更有甚的是使用預設的密碼(也即是全世界都知道的密碼),完全沒打算更改過。
這並非誇張的故事。Trustwave 保安研究人員就發現,美國有多達九成零售商戶從未更改、並一直使用 POS 系統的預設密碼,有一家更是自 1990 年起就從未更改過預設密碼長達 25 年之久。只要黑客掌握了預設密碼,幾乎能對全部 POS 系統肆意妄為。
至於消費市場一樣誇張,據資訊保安廠商 SplashData 連續第四年公佈的最差密碼名單,2014 年仍以「123456」連任為最常見密碼的第一名,而「password」亦蟬聯第二名。而其他最差密碼亦往往是由簡單易記的數字或英文單字,原因也是源於使用者不想背記複雜密碼。據 YouGov 的研究指出,多達 53% 美國人在 2013 年完全無更換過密碼,保安問題很多人都未有正視。
microsoft-internet-password-research-1-590x393

安全提示一樣是漏洞

為阻止使用者採用「蠢密碼」,有些網站管理員會要求用戶的密碼長度,至少含 6 個字元並包含大小寫英文字母、數字、符號等,有些對系統保安要求較高的,更強制不能與用戶名稱、個人資料重覆,以避免被入侵者猜出。不過很多人為想減少背記複雜密碼,結果又變成是「一套複雜密碼通行各大網站」,一旦其中一個服務外洩密碼就會「火燒連環船」。
為避免這種情況,有些服務會要求用戶隔一段時期就必須更改密碼,也不可跟用過的密碼重覆,從而減少因為外洩而讓他人入侵的機會。但這又導致用戶經常忘記密碼,雖借助「忘記密碼」功能來取回密碼。但問題又再次出現,因為安全提示問題沒有經常更改,也可能每個網站都用相同問題和答案,結果依然是回到老問題上。
而且據電子邊疆基金會和 Google 一項研究指,有些安全提示的預設問題太常見和太直覺,某些族群的帳號使用者的安全提示答案大多相同,黑客非常容易猜中,在六次內就猜中的機會高達 17%。而「你最喜歡的超級英雄是誰?」一類問題,答案更往往只得數個,出事機率自然高。
而這類安全提示問題一般比較貼身,如果是家人、朋友,猜中的機會不會低,例如「最喜歡食物」就屬此類。因此有些較聰明的會乾脆一開始就填上假答案,約有 37% 網民在安全提示問題欄填入了假答案,以增加破解帳號的困難度,但如果連自己都忘掉正確答案就麻煩了。

LastPass 雖未失守,但未必不會

這也是為何會有 LastPass 這種密碼管理網站的出現。LastPass 能隨機生成完全不同、連使用者自己也記不著的密碼,透過讓 LastPass 記錄和自動輸入功能,使用者根本不用背記複雜密碼也能得到保護,只需記著一個主要的主密碼登入 LastPass 就能通行於不同平台。
但這其實又回到「安全提示」一樣的問題,就是「把所有雞蛋都放在同一個籃」。不過 LastPass 就比較好一點,因黑客還得先破解 LastPass 後才能知道所有隱藏的密碼,但仍不損「同一個籃」面對的全輸風險。LastPass 上周發現有黑客嘗試入侵,雖然 LastPass 強調黑客未有成功得手,但亦已提醒用戶最好修改一下主密碼,而未採用多重因素認證的用戶均必須透過電郵進行帳號驗證。
雖說 LastPass 未有失手(信住先啦),但其實已為密碼保安敲了警鐘。事實上不說 LastPass 的加密技術有沒攻破,畢竟「世上沒有攻不破的系統、只有沒有攻破價值的系統」,如果 LastPass 或其他一眾密碼管理服務有攻破價值,出事其實只是時間問題。
lastpass-hacked-2-590x369

中強度和高強度密碼其實沒有分別

但就算你的密碼再長、再複雜,但如果碰上有心對付你的黑客,可能關鍵的就不是密碼本身。現在有所謂「暴力攻擊法」,透過使用強大運算伺服器不斷沒腦地嘗試不同密碼,最終試出你的密碼。遇上這種手法的話,前面提到的蠢密碼只需幾秒就能破解,複雜密碼也可能只需幾十小時。
Microsoft 早前的報告就指出,若黑客採用在線模式發動攻擊,依然會受到網站登入次數與其它保安機制所限;但若黑客使用離線攻擊 – 先竊取服務的密碼檔再進行破解,中強度與高強度密碼的分別只為破解時間由數小時增至數十小時而已,密碼最終都會被黑客成為破解。因此中強度和高強度密碼,其實沒有什麼分別。
除了暴力破解法,現在還有更難提防的釣魚攻擊。如果黑客事前已在目標電腦插入鍵盤側錄惡意程式,或採用偽冒網站和釣魚電郵偷取密碼,或以社交工程騙取信任再偷取密碼,那致命關鍵就不是密碼有多複雜,或是網站有否加密,而是「人」本身了。
microsoft-internet-password-research-3-590x428

生物辨別技術走入消費市場

其實過去多年一直有廠商在開發,以生物特徵來認證的生物辨別技術(Biometrics)保安系統,技術由大家熟識的指紋、臉容和語音,到掌紋、虹膜、視網膜、靜脈等更難模擬的生物特徵,都有人在開發相關的保安系統。生物辨別技術準確度高、難以盜取,因此很常見於國防或高規格保安的保安系統,甚至連下一代香港智能身份證都計劃加入有關技術。
先撇開有否私隱問題不論,生物辨別技術再準確也好,最大的難點是太過昂貴,難以在消費級層面應用。現在能看到的多為門禁系統或商務系統,你很難想像用指紋來登入 Gmail,因不是人人家中都會有一部指紋辨別裝置。因此當 iPhone 率先採用 TouchID 的指紋技術時,才會被視為生物辨別技術普及化的重要契機。
其實近年也有廠商開始為裝置加入生物辨別功能,其中又以日系廠商最為積極,例如 Unwire.pro 就曾報導過 Fujitsu LIFEBOOK 首次把 PalmSecure 生物辨識技術帶到海外市場,此技術透過紅外線感應器,以手掌靜脈建立用戶獨特的資料庫達到防盜功能。只要編寫合適程序,把有關技術用於網上系統的登入絕對可能,據消息指 Apple Pay 便已在考慮用 TouchID 來認證身份。

顏文字登入未必就會安全

密碼保安行之有效多年,但隨著黑客攻擊手法進步,的確存在更大的風險,隨著 iPhone 也加入生物辨別技術,那是否代表這種登入方式的時代快將來臨,密碼登入方式將會被淘汰?Unwire.pro 訪問了香港專業資訊保安協會會長范健文,范表示並非不可能,但不論是何種技術都有可能被破解,因此關鍵並非使用哪種技術,而是有否多重保障。
早前就有外國報導指有英國廠商研究使用顏文字(Emoji)來做網上銀行的登入密碼,認為顏文字比數字來得多,組合自然更多,更難以撞破。其實早已有廠商開發使用虛擬鍵盤、圖片等方式登入的方法,顏文字其實並不新鮮,范健文認為就算提高了破解難度,只要不是採用多重因素認證,要出事時還是阻止不了。
他以 LastPass 及其他密碼管理服務為例,指出會使用這些服務的人本身也應該關心保安問題,應該採用多重因素認證來保障自己。多重因素認證(Multi-Factor Authentication, MFA)是現在多家服務商如 Google 也採用的,現時網上銀行會用認證裝置(Token)便屬此類,使登入認證除密碼增加其他辨認身份的方式,解決因為密碼外洩就會全盤輸清的問題。

多重因素認證才是關鍵

Google 早年已推出兩步認證(2-Step Verification),採用兩步認證用戶當要登入時,系統會用短訊發送一次性認證碼到已登記的手機號碼,需要兩者均正確才能登入。今年 Google 更支援 Security Key,只要在登入時插上 USB 埠後就會驗證用戶身份,而且支援 FIDO U2F 認證,只要支援 FIDO U2F 的網站及服務均可透過 Security Key 以認證用戶身份。
換言之,即使你使用的網站或服務並未提供二重認證(畢竟發送 SMS 是很高成本的),只要網站支援 FIDO U2F 其實也能得到保障。而 LastPass 也提供多重認證,因此就算你害怕因為 LastPass 而全盤輸清,只要有多重認證功能也比自己記一堆難記密碼、但缺乏二重認證的情況來得安全。
范健文表示已有很多例子證明,採用多重因素認證會更加安全,因能偷你密碼的黑客未必能同時偷到你的手機,多一重保護就是多一個保障,這跟前面用的是哪種技術的辨別是沒有關係的。他就提到就算是 TouchID 也會因為系統的問題而失效,也許辨識技術很準確,但如果是系統本身出錯的話也是沒用的。

數據分析登入者是否使用者本人

我們經常說密碼管理是個人責任,但絕大多數的資訊保安廠商都不會認同,網上服務商把管理責任推給使用者的行為(以去年 Sony Pictures 被駭為例,就是 Sony 自己的錯)。畢竟決定一個平台是否採用多重因素認證的,絕對是服務供應者本身,而不是一介消費者。其實除了生物辨別技術,已有廠商研發利用收集用戶使用習慣、行為模式的數據,來判斷登入的人是否用戶本人的技術。
以 Google 為例,若黑客偷取了密碼而在其他地方登入你的 Gmail,就會顯示你的 IP 跟你慣常出現的地點有出入,若果 IP 是俄羅斯、南美這些黑客高危地區就更小心,而真正使用者亦會收到提示,Google 將查詢有關登入是否正確,從而減少誤判機會。
就像今天偽冒簽名會有筆跡專家驗證一樣,也許未來登入系統也有「筆跡」。美國喬治亞理工學亦正在研究,可以透過對用戶的打字速度及按鍵壓力進行識別,從而分辨用戶是否其帳戶持有人本人的技術。即使黑客成功竊取密碼非法存取,也得同時知悉該用戶的輸入風格與習慣才成,這無疑更有效阻擋非法存取。
smart-keyboard-1-590x245

總結:

雖然本文無法立下結論,密碼保安是否快會被生物辨別技術取代,但絕對可以肯定的是,多重因素登入將更快成為未來的標準措施。其實香港政府早已推出電子證書,但奈何應用機會太少,反而像 Google Security Key 或能因為商業優勢而跑出。
目前多家廠商都希望自己能夠主導「安全登入」該採用哪種技術為主流,因此各有各做的情況其實很常見。樂觀當然是百花齊放,悲觀就是戰國時代也許得維持一段時間,為消費者帶來麻煩。但不管如何,廠商正視有關問題仍是值得欣喜的。
題外話,如果 Unwire.pro 讀者對多重因素認證有興趣,可以看一下 Unwire.pro 之前做過的教學。設定二重認證,其實唔難。

USB 手指變電腦鎖匙 Google 加入支援 Security Key 加強兩步驗證

http://unwire.pro/2014/10/25/google-supports-security-key/security/

近期經常發生登入帳戶資料外洩的意外,令不少人都重新思考單憑登入名稱和密碼的認證方式是否足夠安全。為加強使用日益頻繁的網絡安全,Google 於早年推出兩步 (2-Step Verification)。近日,Google 就加入支援 Security Key,進一步加強其兩步驗證服務,在保安領域上再下一城。
google-security-key-1

用戶日後可透過單一 Security Key 走天涯
據 Google Security 產品經理 Nishit Shah 指,基於大部份黑客採取的均為遠端攻擊,因此透過用戶手機接收、具時限的驗證碼就可大大堵截了黑客長驅直入用戶帳號的可能性。而透過日前公布的 Security Key,將再進一步加強其保安性。
Security Key 為一種作為安全登入的 USB 裝置,其只有在完成驗證用戶在登入網站的真偽後才會運作,而令 Security Key 更吸引的是,基於其對 FIDO U2F 的支援,因此 Security Key 並非只支援 Google 服務,所有支援 FIDO U2F 的網站及服務均可以透過 Security Key 以認證用戶身份,
google-security-key-2

雖然市面上其他熱門瀏覽器如 Firefox、Safari 等現時尚未支援 FIDO U2F。但 Shah 表示隨著支援 FIDO U2F 的網站與瀏覽器數目逐漸增加,日後用戶或可只以單一 Security Key 就享用大部分的網絡服務。

4G 速度未用盡.5G 網絡又即將來臨 (4G, 4G LTE-A, 5G) speeds



當香港只有一家電訊商可以提供 4G LTE-A 服務,國際電訊聯盟(ITU)已經馬不停蹄地繼續進行下一代移動通訊的定義工作。
國際電訊聯盟剛剛為 5G 速度下了定義,它們認為 5G 網絡的速度最理想要有 20Gbps、或者快目前 4G LTE 最少 20 倍的速度 (即為 8-10 Gbps)。而以上的速度則為理論上的最高速度,即好像在香港推出的 4G LTE-A 服務,但筆者從未試過上到接近 300Mbps 的理論最高速度。
直至現在,最快的 4G 為 Cat. 6 及 Cat.9,分別高達 300Mbps / 450Mbps,但其實都低於 4G 網絡理論最高的 1Gbps。即是儘管在理論上的傳輸速度是多麼瘋狂,但在實質方面卻有機會不能實現。
然而,現在的 4G 網絡被稱為 IMT-Advanced,而 3G 則被稱為 IMT-2000,因此國際電訊聯盟建議把 5G 稱為IMT-2020,而投票事項將在 10 月份舉行。
與此同時,國際電訊聯盟認為儘管 5G 將會在 2018 年平昌郡奧運首次面世,但距離商用也有一段距離,因此它們預計第一批商用 5G 將會於 2020 年開始運作。
隨著 3G 限速 Plan 的被取替,現在香港 4G 都算普及。不過在各電訊商共同取消無限上網後,4G 的速度其實已經夠用。5G 真的有需要嗎?

2015年6月20日星期六

網上放售8萬元白地通遭騙走 fb尋賊 少女擒偷勞男 起底尋賊. Action News



網上放售8萬元白地通遭騙走 fb尋賊 少女擒偷勞男

22歲OL 10小時智擒呃勞男

【本報訊】近年當炒、花名「白地通」的勞力士名錶Daytona成為騙徒目標,年輕女錶迷本周二買了一隻8萬元白地通後放上網發售,翌日,名錶騙徒相約交易時偷去手錶,事主其後將騙徒相片放上facebook呼籲網民尋人,12小時後接獲網民報料,她親自帶警員登門拘捕騙徒。


記者:張珮琪 莫家文


■杜小姐早前以8萬元買入勞力士Daytona(右圖)。

遇騙的女錶迷姓杜(22歲),任職美容顧問,事後由警員帶署助查。警方指,涉案39歲姓李男子聲稱已將手錶變賣予街頭收買佬,警方暫列以欺騙手段取得財產案。騙徒被捕,但名錶未尋回,杜女十分失望,「我好蠢……唔應該以大博小」,對網上賣錶感到後悔。


杜女自稱近年迷上勞力士手錶,本周二(16日)在九龍區一間錶店以8萬元,購買一隻俗稱「白地通」的勞力士白錶面不銹鋼賽車專用腕錶(Cosmograph Daytona),但其後發現俗稱「黑地通」的同款黑色錶面手錶更吸引,當晚以8.3萬元將白地通放上網發售,希望賣出套現再買新錶。


白地通是近年當炒名錶,炒價達9萬元,市面錶行無現貨需登記輪候。她稱當晚發帖後不久接獲騙徒回覆,最終相約翌日下午5時在旺角交收。



■女事主(箭嘴示)前日率警方拘捕騙徒。讀者提供圖片

帶警登門拉人

騙徒現身後質疑事主的手錶是假貨,藉詞驗錶帶事主走遍旺角區5、6間錶行鑑證,至傍晚稱可以成交,聲稱在銀行櫃員機過數,他其後着杜女查核,杜女不以為意將手錶交他看管,騙徒趁機攜錶逃去。


杜女最後發現對方無過數才知受騙往旺角警署報案,警方其後從他們去過的其中一間錶行翻看閉路電視,取得騙徒相片,她當晚將手錶資料及騙徒相片上載facebook,呼籲網民協助。


12小時後,她接獲網民報料指騙徒居於沙田廣源邨,至前日杜女由男友陪同去到廣源邨,她其後報警,更親自帶同警員登門找騙徒。她稱當時對方在家,但不肯開門,她不忿氣,在警員面前撥打對方手機,騙徒不以為意接聽,警員確認對方在家,最後騙徒開門由警員拘捕帶署。


尖沙嘴一家名錶專門店職員稱,勞力士「白地通」於1963年推出,專為賽車運動設計,以測速計外圈及高性能機械機芯為賣點,因產量少,有保值潛力,該店兩周內只獲兩隻供應,瞬即售罄。該店員提醒市民若要放售名錶,應到有信譽二手錶行,帶同手錶、原裝盒及保修卡交店員評估,較網上售賣有保障。


蘋果20年 企硬我敢言


http://20.appledaily.com

上一則: 九巴兩工會突接受加薪4.6%

下一則: 網民12小時起底

http://hkm.appledaily.com/detail.php?guid=19191567&category_guid=4104&category=daily&issue=20150620


要聞港聞兩岸國際娛 樂更多

網民12小時起底

■被騙走名錶的女事主在fb上載騙徒照片,並向網民求助。互聯網

【本報訊】今次勞力士騙案迅速破案,關鍵在於一班網民成功人肉搜尋,在事發12小時後把騙徒起底,讓女事主報警帶同警員登門成功拘捕歸案,向她提供騙徒住址這些最重要資料的網民,就是騙徒的同邨鄰居,這名網民不但直擊騙徒被押走經過,更充當記者攝下照片。其實近年亦有多宗網民發功成功尋人事件,顯示互聯網及社交網站無遠弗屆的威力。

據姓杜女事主稱,事發當晚她在facebook留言後,數小時後收到多名熱心市民報料,當中包括與騙徒同住一幢樓的網民,該網民稱認得騙徒並不值其所為而通知女事主。

拍下拉犯過程

該網民稱,他從大廈升降機閉路電視直擊警員押走疑犯經過,於是在露台拍照。

網民力量不容小覤,網絡社交平台成為尋親、尋失物以至為疑犯起底重要途徑。去年6月,一名患腦退化症婦人失蹤,其女兒報警及在fb貼圖尋母,經網民轉發消息,28小時尋回母親。

■記者莫家文

上一則: 網上放售8萬元白地通遭騙走 fb尋賊 少女擒偷勞男

下一則: 東莞搗地下藥廠 港人主腦在逃 內地假藥 流入港連鎖店

桌面版使用說明使用條款聯絡我們招聘

©2015 AD Internet Limited.
All rights reserved. 版權所有 不得轉載

2015年6月18日星期四

用 Emoji 來當密碼的安全度會更高? video (mainly English narration)


已經不想再配那些四位數字密碼了嗎?未來有機會用 emoji 表情符號來代替啊。英國的保安軟體公司 Intelligent Environments 宣佈已將 emoji 密碼登入系統整合到旗下的電子銀行 Android app 上,讓用戶從 44 個 emoji 中挑選出四個作為一個密碼組合。該公司表示四位數字密碼只有 7,290 個可能組合,但 emoji 卻有接近 350 萬個,保安程度更高。

此外,他們指出很多人都會以生日日期和結婚紀念日來當數字密碼組合,這樣會加大被 hack 的機會,而用 emoji 的話,用戶則可以用它們來作一個小故事,他們更引用研究指用戶更加容易記著密碼。大家覺得這種密碼會更好用或是更安全嗎?想了解更多就看介紹影片吧。





2015年6月11日星期四

​武士刀 vs 機械人 極好睇 Man 爆 5 分鐘 CM 短片