Pazu 薯伯伯

Pazu 薯伯伯

旅遊寫作人,為最早一批在網上連載遊記的香港人,多年來足迹遍佈歐、亞多國,在喜馬拉雅山麓、東南亞、南亞等地區生活。著有《風轉西藏》、《北韓迷宮》、《西藏西人西事》及《不正常旅行研究所》,分別在香港、北京及首爾出版。作者 Facebook:https://www.fb.com/pazukong;網誌:https://pazu.com/blog;Pazu 兒歌網:https://www.pazu.com;相集:https://www.instagram.com/pazu;Patreon 頻道:https://www.patreon.com/pazu

2020/4/15 - 22:38

從 Instagram 戶口被清零,再談網絡保安

資料圖片,來源:lalo Hernandez @ Unsplash

資料圖片,來源:lalo Hernandez @ Unsplash

不厭其煩,再次談論一下網絡保安。今天寫這篇文章,當然是因為看到科大編委的 Instagram 被入侵之事,有感而發。科大編委的 Instagram 被入侵,追蹤者被清零,專頁內容也被清零,半年以來的心血,好像一下子被抹去。過去的,不多說了,大家請關注他們的 Instagram,讓他們的追蹤者人數儘快恢復正常。

說起來,最近這幾個月,我的 Instagram 及 Facebook 戶口經常偵測到一些可疑動作,例如正在使用 Facebook 時,會忽然自動退出,不停要我輸入 security codes 做認證,而 Instagram 也經常有人嘗試重設我的密碼,但不成功。

至今我的網絡戶口,還沒有被破解,而我也不停檢視相關保安措施,希望儘可能防止戶口被盜。我在幾乎所有重要的網上戶口,如果網站的設定許可,我都會有以下設定:

廣告

密碼管理:

  1. 戶口密碼,除了混合大小寫、符號及數字,也有四十位左右。
  2. 密碼不重複使用,所有密碼均須獨立分開,不能一個密碼走天涯。
  3. 密碼用密碼管理器記錄,1Password 個人版是每月 US$2.99,五人家庭版是每月 US$4.99。坊間有很多不同的密碼管理器,有時間的話也可以自行發掘。還有,不要問:「把密碼都放在管理器裡,豈不是很危險嗎?」請花點時間去理解一下其運作。

二步認證:

  1. 極重要,必須開通二步認證(又稱雙步確認,2-step authentication,2FA)。只要網站有這個設定,都必須開啟。Facebook 要開 2FA,Instagram 要開 2FA,Google 戶口要開 2FA,WhatsApp 等也要開 2FA。
  2. 二步認證的意思,就是輸入密碼之後,還要再找另一個方式做認證,所以稱之為「二步」。例如是用手機的 authentication app、手機號碼、Yubikey 硬件等。
  3. 在此難以逐一講解設定過程,但通常在網站的「戶口 → 保安」有相關設定。所謂一理通,百理明,明白了搜索可變簡單,去 Google 輸入「網站名字 + 2FA」,即能看到相關簡介。例如搜尋「Google + 2FA」。
  4. 如果你是團隊工作,就要求所有團員一同開啟 2FA。

慎防社交工程:

  1. 慎防冒認的欺詐,即所謂社交工程(social engineering)。例如,有朋友忽然發文字訊息給你,請你幫他驗證登入,那就用電話致電確認。
  2. 還有,有一句話,我每次聽到,都像是看到糞便從糞渠湧出來一樣噁心。就是:「我不用搞那麼多保安,因為我的手機裡面沒任何秘密。」你的手機如果被入侵了,別人跟著你的通訊錄,逐個去騷擾你的朋友,並用你的名義叫朋友去匯款、買點數卡、騙取他們的同情。

手機及電腦要做足保安,不是因為有甚麼不可告人的秘密,而是因為每個人也有責任保障朋友不會因自己的疏忽而遭至騷擾或損失。

 

作者 Facebook / Patreon 專頁